Resin說明本文使用"keytool"來生成私鑰和CSR 文件，JDK 中一般已經(jīng)默認(rèn)安裝有keytool，如果您的服務(wù)器上沒有安裝keytool,請先下載安裝。本文還要求安裝有JSSE，如果使用J

Resin

說明

本文使用"keytool"來生成私鑰和CSR 文件，JDK 中一般已經(jīng)默認(rèn)安裝有keytool，如果您的服務(wù)器上沒有安裝keytool,請先下載安裝。

本文還要求安裝有JSSE，如果使用JDK1.4及其以上版本，JSSE已經(jīng)集成到JDK 中，否則請到SUN 網(wǎng)站下載和安裝JSSE: http://www.sun.com.cn，并把 jsse.jar、jcert.jar、 jnet.jar 復(fù)制到目錄：$JAVA_HOME/jre/lib/ext 安裝完成后需要添加SSL 安全服務(wù)提供者：

修改 $JAVA_HOME/jre/lib/security/java.security文件中的:

security.provider.2=com.sun.net.ssl.internal.ssl.Provider

本文Resin 安裝配置示例使用的版本是2.1.17, 如果進(jìn)行resin 配置時(shí)不能成功完成，可能是版本原因，請參考resin 幫助文件中SSL 相關(guān)章節(jié)進(jìn)行配置。 產(chǎn)生CSR

重要注意事項(xiàng)

在生成CSR 文件時(shí)同時(shí)生成您的私鑰，如果您丟了私鑰或忘了私鑰密碼，則頒發(fā)證書給您后不能安裝成功！您必須重新生成私鑰和CSR 文件，利用證書補(bǔ)辦流程頒發(fā)新的證書。為了避免此情況的發(fā)生，請?jiān)谏蒀SR 后一定要備份私鑰文件和記住私鑰密碼，最好是在收到證書之前不要再動服務(wù)器

1. 生成 keystore 和 keyEntry

請使用以下命令，并參考下圖：

keytool -genkey -alias [keyEntry_name] -keyalg RSA -keystore

[keystore_name]

請注意：keyEntry_name和keystore_name可以根據(jù)需要自行輸入，但請與下文中內(nèi)容保持一致。如果您不指定一個(gè) keystore 名稱(不使用參數(shù) -keystore)， 則 keystore 文件將保存在您的用戶目錄中(如：C:Documents and

Settingsyour name.keystore)，文件名為：.keystore

系統(tǒng)會提示您輸入 keystore 密碼，缺省密碼為：changeit，您可以指定一個(gè)新的密碼，但請一定要記住。

接著會提示“What is your fist and last name?”，請輸入您要申請域名證書的域名，而不是真的輸入您的個(gè)人姓名，如果您需要為www.domain.cn 申請域名證書就不能只輸入 domain.cn。域名證書是嚴(yán)格綁定域名的。

接著，輸入您的部門名稱、單位名稱、所在城市、所在省份和國家縮寫(中國填：CN，其他國家填其縮寫)，除國家縮寫必須填CN 外，其余都可以是英文或中文。 。這些信息具體內(nèi)容可以忽略，生成證書時(shí)信息以RA 系統(tǒng)中登記的為準(zhǔn)。

最 后，要求您輸入私鑰密碼， 請一定要為 keystore 和 keyEntry 輸入一樣的密碼，否則您重新啟動Tomcat 后會提示錯(cuò)誤信息：

java.security.UnrecoverableKeyException: Cannot recover key。同時(shí)，請一定要記住密碼！

2. 生成CSR

請使用以下命令，并參考下圖：

keytool -certreq -alias [keyEntry name] -file request.csr -keystore

[keystore name]

CSR 文件(request.csr)會保存在當(dāng)前目錄下， CSR文件為文本文件，如下圖示。

3. 備份私鑰文件

請備份您的keystore 文件并記下私鑰密碼。最好是把私鑰文件備份到軟盤或光盤中。

4.把CSR 發(fā)給CNNIC

成功生成CSR 后請?jiān)诘卿汣NNIC 證書下載頁面時(shí)把CSR 內(nèi)容發(fā)給CNNIC 即可。請一定不要再動您的服務(wù)器，等待證書的頒發(fā)。

證書下載

生成完CSR 后，既可以登錄CNNIC 可信網(wǎng)絡(luò)服務(wù)中心網(wǎng)頁（進(jìn)入www.cnnic.cn ，點(diǎn)擊“可信網(wǎng)絡(luò)”），點(diǎn)擊“網(wǎng)址衛(wèi)士”下載進(jìn)入到證書下載頁面。

1.下載域名證書

A ．點(diǎn)擊“網(wǎng)址衛(wèi)士第一部分”，根據(jù)網(wǎng)頁上的提示輸入從密碼信封中獲取的“參考號”和“授權(quán)碼”，復(fù)制上一步所生成的CSR 到網(wǎng)頁的“CSR ”文本框中，復(fù)制時(shí)不要復(fù)制頭尾的“-----BEGIN NEW CERTIFICATE REQUEST-----”和“-----END NEW CERTIFICATE REQUEST-----”，只要中間的部分。結(jié)果如下所示：

B ．點(diǎn)擊“下載”，如果參考號、授權(quán)碼和CSR 均無問題，顯示頁面如下所示。請根據(jù)頁面上的提示將文本框中的內(nèi)容拷貝下來，粘貼到一個(gè)新建的文本文件中，并保存，文件名可以是“www.domain.cn.txt ”。

注意：文本框中的內(nèi)容就是此次申請的證書，請一定將內(nèi)容拷貝保存下來，如果內(nèi)容丟失，就必須進(jìn)行證書補(bǔ)辦。

C ．將保存下來的文本文件的文件類型從.txt 改為.cer ，例如，這就是此次下載下來的域名證書。改完后可以雙擊打開文件，即可以查看到證書的具體信息。顯示類似如下（具體內(nèi)容有所不同）：

D ．證書格式轉(zhuǎn)換。因?yàn)閗eytool 工具所支持的證書編碼格式問題，需要對證書的格式進(jìn)行轉(zhuǎn)換。在上圖中，點(diǎn)擊“詳細(xì)信息”->“復(fù)制到文件”后，即可以根據(jù)提示點(diǎn)擊“下一步”將證書另存一個(gè)文件，得到最終的證書文件。其中“選擇導(dǎo)出文件格式”時(shí)請選擇“DER 編碼二進(jìn)制X.509(.CER)”，如下圖所示：

2.下載證書鏈上的其他證書

點(diǎn)擊證書下載頁面的“網(wǎng)址衛(wèi)士第二部分”，將壓縮包下載到本地，解壓縮即可以獲取證書鏈上的中級根證書和根證書。至此證書下載完成。

安裝證書

1. 保存證書文件

一旦您申請的域名證書成功頒發(fā)，您會受到一個(gè)帶有參考號和授權(quán)碼的密碼信封，然后即可以登錄CNNIC 網(wǎng)站進(jìn)行證書下載。下載下來的域名證書可以保存為www.domain.cn.cer，就是您的域名命名的證書文件。

進(jìn)行證書下載時(shí)還需要將證書鏈上的根證書和中級根證書一并下載保存。

2. 導(dǎo)入證書

請使用以下命令導(dǎo)入根證書（假設(shè)保存為root.cer）到您的Keystore 中：

keytool -import -trustcacerts -alias root -file root.cer -keystore

[keystore_name]

請使用以下命令導(dǎo)入中級根證書（假設(shè)保存為CNNIC.cer）到您的Keystore 中：

keytool -import -trustcacerts -alias INTER -file CNNIC.cer -keystore

[keystore_name]

請使用以下命令導(dǎo)入您的域名證書到您的Keystore 中，其中：

keytool -import -trustcacerts -alias [keyEntry_name] -file

www.domain.cn.cer -keystore [keystore_name]

以下圖例為導(dǎo)入測試證書：

請注意：如果您在生成 keystore 沒有指定名稱，則不需要 -keystore 選項(xiàng)。

在運(yùn)行此命令時(shí)會提示您輸入密碼，也就是您在生成 keystore 時(shí)設(shè)置的密碼。

當(dāng)導(dǎo)入證書到您的 keystore 時(shí)，一定要使用生成CSR 時(shí)一樣的別名(alias)，同時(shí)使用 -trustcacerts 參數(shù)。如果不指定一樣的別名，將不能安裝成功！

如果您忘了您的別名，請使用如下命令查看您的別名：

keytool –list -keystore [keystore_name] -v

3. 修改Resin 配置文件(resin.conf)

檢查和修改配置文件resin.conf：

.........

true

jks

keys/server.keystore //keystore文件路徑

changeit //keystore密碼

Resin 在文件resin.conf 中保存SSL 配置信息，請確保Resin 能正常讀取keystore 文件和密碼，并且8443端口已經(jīng)打開。

請檢查和修改keystoreFile 的目錄正確和keystore 密碼正確。

請保存配置文件，重新啟動Resin。

4. 完成配置

請確認(rèn)分配了8443端口（resin默認(rèn)配置為ssl 服務(wù)使用8443端口）和一個(gè)固定的IP 地址給主機(jī)。

在瀏覽器地址欄輸入：https://www.domain.cn：8443(申請證書的域名)測試您的域名證書是否安裝成功，如果成功，則瀏覽器下方會顯示一個(gè) 安全鎖標(biāo)志。請注意：如果您的網(wǎng)頁中有不安全的元素，則會提供“是否顯示不安全的內(nèi)容”，建議修改網(wǎng)頁刪除不安全的內(nèi)容。

配置成功后，可以根據(jù)自己的需要在resin.conf 中調(diào)整https 所使用的端口，https 訪問使用的默認(rèn)端口是443。