文檔名稱 文檔密級(jí)創(chuàng)建自簽名證書以用于SSL 的步驟一、創(chuàng)建Keystore1、假設(shè)在控制臺(tái)我們進(jìn)入的目錄是D 盤的temp, 在命令行下輸入如下：keytool -genkey -alias www

文檔名稱 文檔密級(jí)

創(chuàng)建自簽名證書以用于SSL 的步驟

一、創(chuàng)建Keystore

1、假設(shè)在控制臺(tái)我們進(jìn)入的目錄是D 盤的temp, 在命令行下輸入如下：

keytool -genkey -alias www.huawei.com -keyalg RSA -keysize 2048 -validity 3650 -keystore keystore.cer -storepass keystore-password

說(shuō)明：

1) –keyalg 使用加密的算法，這里是RSA

2) –alias 密鑰的別名

3) -keystore 密鑰保存在當(dāng)前temp 目錄下

4) -storepass 存取密碼，這里設(shè)置為keystore-password ，這個(gè)密碼提供系統(tǒng)從

keystore.cer 文件中將信息取出

5) –validity 該密鑰的有效期為 180天 (默認(rèn)為90天)

2、 回車執(zhí)行命令，提示輸入需要認(rèn)證的基本信息

您的名字與姓氏是什么？

[Unknown]： 169.254.66.159

您的組織單位名稱是什么？

[Unknown]： huawei

您的組織名稱是什么？

[Unknown]： huawei

您所在的城市或區(qū)域名稱是什么？

[Unknown]： shenzhen

您所在的州或省份名稱是什么？

[Unknown]： guangdong

該單位的兩字母國(guó)家代碼是什么

[Unknown]： zh_cn

CN=169.254.66.159, OU=huawei, O=huawei, L=shenzhen, ST=guangdong, C=zh_cn 正確嗎？

[否]： y

2013-3-27

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第1頁(yè), 共10頁(yè)

文檔名稱 文檔密級(jí)

輸入的主密碼

（如果和 keystore 密碼相同，按回車）：

注意：根據(jù)提示逐個(gè)填寫上面的信息，注意，這里的“您的名字與姓氏是什么”必須是站點(diǎn)的完整域名或者ip 地址

4、輸入的主密碼，按默認(rèn)和keystore 密碼相同，直接回車退出并生成證書，在D 盤的temp 目錄即可找到一個(gè)key.store 證書文件。

5. 驗(yàn)證生成的keystore ，輸入如下命令：

keytool -list -keystore keystore.cer -storepass keystore-password

注意：-storepass 的密碼需要跟創(chuàng)建的keystore 保持一致

結(jié)果如下：

二、創(chuàng)建自簽名的證書

基于第上面的keystore.cer 創(chuàng)建一個(gè)自簽名的證書，步驟如下：

1、在命令行輸入命令如下：

keytool -selfcert -alias www.huawei.com -keystore keystore.cer -storepass keystore-password

注意：下面幾個(gè)參數(shù)須跟上面創(chuàng)建的Keystore 保持一致

1. -alias 別名 2. -keystore 證書文件名 3. -storepass 密碼

2、再次驗(yàn)證生成的keystore ，輸入如下命令：

keytool -list -keystore keystore.cer -storepass keystore-password

2013-3-27

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第2頁(yè), 共10頁(yè)

文檔名稱 文檔密級(jí)

注意：-storepass 的密碼需要跟創(chuàng)建的keystore 保持一致

結(jié)果如下：

4、導(dǎo)出cer 證書, 輸入如下命令：

keytool -export -alias www.huawei.com -keystore keystore.cer -file bmecert.cer -storepass keystore-password

結(jié)果如下：

三、設(shè)置用于Https 的證書路徑

1. 上傳證書文件:

1. 需要將產(chǎn)生的密鑰keystore.cer 拷貝到${JBOSS_HOME}/server/default/conf/

2. 需要將產(chǎn)生的證書文件bmecert.cer 拷貝到

${JBOSS_HOME}/server/default/deploy/smap.ear/default.war/ssl

2. 打開${BMP_HOME}/jboss/server/default/deploy/jbossweb-tomcat55.sar/server.xml，修改如下節(jié)點(diǎn)配置：

algorithm="IbmX509"

clientAuth="false"

emptySessionPath="true" keystoreFile="${jboss.server.home.dir}/conf/

keystore.cer"

keystorePass="keystore-password"

maxHttpHeaderSize="8192"

maxThreads="100"

port="${jboss.https.WebPort}"

scheme="https"

2013-3-27

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第3頁(yè), 共10頁(yè)

文檔名稱 文檔密級(jí)

secure="true"

sslProtocol="TLS"

strategy="ms"/>

需要修改配置的參數(shù)如下：

1.keystoreFile ：對(duì)應(yīng)上傳到${BMP_HOME}/jboss/server/default/conf目錄的keystore.cer 證書

2.keystorePass: keystore密碼，即生成證書時(shí)storepass 對(duì)應(yīng)的密碼

四、安裝信任證書

1. 對(duì)于IE 瀏覽器，選擇Internet 選項(xiàng)，則顯示如下：

點(diǎn)擊證書按鈕，顯示如下：

2013-3-27

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第4頁(yè), 共10頁(yè)

文檔名稱 文檔密級(jí)

點(diǎn)擊導(dǎo)入，顯示如下：

2013-3-27

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第5頁(yè), 共10頁(yè)

文檔名稱 文檔密級(jí)

點(diǎn)擊下一步，顯示如下：

2013-3-27

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第6頁(yè), 共10頁(yè)

文檔名稱 文檔密級(jí)

選擇要導(dǎo)入的文件名，這里我們選擇前面導(dǎo)出的bmecert.cer 證書，單擊下一步顯示如下：

選擇將所有的證書放在受信任的根證書頒發(fā)結(jié)構(gòu)，點(diǎn)擊下一步，顯示如下：

2013-3-27

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第7頁(yè), 共10頁(yè)

文檔名稱 文檔密級(jí)

單擊完成，顯示如下：

2013-3-27

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第8頁(yè), 共10頁(yè)

文檔名稱 文檔密級(jí)

由于我們是一個(gè)自簽名證書，所以Windows 會(huì)給出上面的安全提示，選擇“是”，顯示如下：

啟動(dòng)BMP 服務(wù)器，提交https 請(qǐng)求，將不再出現(xiàn)下面的提示框：

2013-3-27

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第9頁(yè), 共10頁(yè)

文檔名稱 文檔密級(jí)

五、證書下載

對(duì)于證書的安裝，在實(shí)際使用中一般可以提供一個(gè)鏈接允許用戶下載證書。如下圖紅色指示。

2013-3-27

華為機(jī)密，未經(jīng)許可不得擴(kuò)散 第10頁(yè), 共10頁(yè)