前面使用 keytool 工具生成的keystore是用来SSL证书配置的重要文件。本文介绍在服务端如何部署CA证书。

更多精彩内容请看 web前端中文站
www.lisa33xiaoq.net 可按Ctrl + D 进行收藏

keystore可理解为一个数据库，可以存很多个组数据。

每组数据主要包含下面两种数据： 

• 密钥实体（Key entity）——密钥（secret key）又或者是私钥和配对公钥（采用非对称加密）
• 可信任的证书实体（trusted certificate entries）——只包含公钥

下面我们先说CA证书在服务器端的部署。

下载证书

在阿里云生成的针对tomcat服务器CA证书在申请成功后，如下图，选“下载”->”tomcat”->”下载证书for Tomcat”。

就能下载相应的tomcat证书文件。

顺便补充一下，在上图中，除了Tomcat外，还可以针对其它的服务器下相应的证书，如：Nginx,Apache,IIS等，有需要的请自行研究。 

下载的文件如下：

其中相关文件介绍如下：

• *.pfx为keystore文件，服务器用的就是这个文件 
• pfx-password.txt里包含有keystore所用到的密码 
• *.key里面包含的是私钥，暂时没用到此文件 
• *.pem里面包含的是公钥，主要给客户端

上图中的”下载证书for Tomcat”那个页面有对Tomcat服务器的详细配置教程。

我这里再总结一下：

第一步，在Tomcat的安装目录下创建cert目录，并且将下载的全部文件拷贝到cert目录中。

找到安装Tomcat目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。将下面的内容整合到 server.xml 文件中。

 keystoreFile="cert/*.pfx" keystoreType="PKCS12" #此处的证书密码，请参考pfx-password.txt中的密码 keystorePass="证书密码"

详细的配置内容如下：

 <Connector port="443"     protocol="HTTP/1.1"     SSLEnabled="true"     scheme="https"     secure="true"     keystoreFile="cert/*.pfx"     keystoreType="PKCS12"     keystorePass="证书密码"     clientAuth="false"     SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"     ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

以上，就是CA证书的服务端配置，相当简单！

本文原文出处：web前端中文站： » CA证书在服务器端的部署教程

【注：本文源自网络文章资源，由站长整理发布】