Resin說(shuō)明本文使用"keytool"來(lái)生成私鑰和CSR 文件，JDK 中一般已經(jīng)默認(rèn)安裝有keytool，如果您的服務(wù)器上沒(méi)有安裝keytool,請(qǐng)先下載安裝。本文還要求安裝有JSSE，如果使用J

Resin

說(shuō)明

本文使用"keytool"來(lái)生成私鑰和CSR 文件，JDK 中一般已經(jīng)默認(rèn)安裝有keytool，如果您的服務(wù)器上沒(méi)有安裝keytool,請(qǐng)先下載安裝。

本文還要求安裝有JSSE，如果使用JDK1.4及其以上版本，JSSE已經(jīng)集成到JDK 中，否則請(qǐng)到SUN 網(wǎng)站下載和安裝JSSE: http://www.sun.com.cn，并把 jsse.jar、jcert.jar、 jnet.jar 復(fù)制到目錄：$JAVA_HOME/jre/lib/ext 安裝完成后需要添加SSL 安全服務(wù)提供者：

修改 $JAVA_HOME/jre/lib/security/java.security文件中的:

security.provider.2=com.sun.net.ssl.internal.ssl.Provider

本文Resin 安裝配置示例使用的版本是2.1.17, 如果進(jìn)行resin 配置時(shí)不能成功完成，可能是版本原因，請(qǐng)參考resin 幫助文件中SSL 相關(guān)章節(jié)進(jìn)行配置。 產(chǎn)生CSR

重要注意事項(xiàng)

在生成CSR 文件時(shí)同時(shí)生成您的私鑰，如果您丟了私鑰或忘了私鑰密碼，則頒發(fā)證書(shū)給您后不能安裝成功！您必須重新生成私鑰和CSR 文件，利用證書(shū)補(bǔ)辦流程頒發(fā)新的證書(shū)。為了避免此情況的發(fā)生，請(qǐng)?jiān)谏蒀SR 后一定要備份私鑰文件和記住私鑰密碼，最好是在收到證書(shū)之前不要再動(dòng)服務(wù)器

1. 生成 keystore 和 keyEntry

請(qǐng)使用以下命令，并參考下圖：

keytool -genkey -alias [keyEntry_name] -keyalg RSA -keystore

[keystore_name]

請(qǐng)注意：keyEntry_name和keystore_name可以根據(jù)需要自行輸入，但請(qǐng)與下文中內(nèi)容保持一致。如果您不指定一個(gè) keystore 名稱(不使用參數(shù) -keystore)， 則 keystore 文件將保存在您的用戶目錄中(如：C:Documents and

Settingsyour name.keystore)，文件名為：.keystore

系統(tǒng)會(huì)提示您輸入 keystore 密碼，缺省密碼為：changeit，您可以指定一個(gè)新的密碼，但請(qǐng)一定要記住。

接著會(huì)提示“What is your fist and last name?”，請(qǐng)輸入您要申請(qǐng)域名證書(shū)的域名，而不是真的輸入您的個(gè)人姓名，如果您需要為www.domain.cn 申請(qǐng)域名證書(shū)就不能只輸入 domain.cn。域名證書(shū)是嚴(yán)格綁定域名的。

接著，輸入您的部門(mén)名稱、單位名稱、所在城市、所在省份和國(guó)家縮寫(xiě)(中國(guó)填：CN，其他國(guó)家填其縮寫(xiě))，除國(guó)家縮寫(xiě)必須填CN 外，其余都可以是英文或中文。 。這些信息具體內(nèi)容可以忽略，生成證書(shū)時(shí)信息以RA 系統(tǒng)中登記的為準(zhǔn)。

最 后，要求您輸入私鑰密碼， 請(qǐng)一定要為 keystore 和 keyEntry 輸入一樣的密碼，否則您重新啟動(dòng)Tomcat 后會(huì)提示錯(cuò)誤信息：

java.security.UnrecoverableKeyException: Cannot recover key。同時(shí)，請(qǐng)一定要記住密碼！

2. 生成CSR

請(qǐng)使用以下命令，并參考下圖：

keytool -certreq -alias [keyEntry name] -file request.csr -keystore

[keystore name]

CSR 文件(request.csr)會(huì)保存在當(dāng)前目錄下， CSR文件為文本文件，如下圖示。

3. 備份私鑰文件

請(qǐng)備份您的keystore 文件并記下私鑰密碼。最好是把私鑰文件備份到軟盤(pán)或光盤(pán)中。

4.把CSR 發(fā)給CNNIC

成功生成CSR 后請(qǐng)?jiān)诘卿汣NNIC 證書(shū)下載頁(yè)面時(shí)把CSR 內(nèi)容發(fā)給CNNIC 即可。請(qǐng)一定不要再動(dòng)您的服務(wù)器，等待證書(shū)的頒發(fā)。

證書(shū)下載

生成完CSR 后，既可以登錄CNNIC 可信網(wǎng)絡(luò)服務(wù)中心網(wǎng)頁(yè)（進(jìn)入www.cnnic.cn ，點(diǎn)擊“可信網(wǎng)絡(luò)”），點(diǎn)擊“網(wǎng)址衛(wèi)士”下載進(jìn)入到證書(shū)下載頁(yè)面。

1.下載域名證書(shū)

A ．點(diǎn)擊“網(wǎng)址衛(wèi)士第一部分”，根據(jù)網(wǎng)頁(yè)上的提示輸入從密碼信封中獲取的“參考號(hào)”和“授權(quán)碼”，復(fù)制上一步所生成的CSR 到網(wǎng)頁(yè)的“CSR ”文本框中，復(fù)制時(shí)不要復(fù)制頭尾的“-----BEGIN NEW CERTIFICATE REQUEST-----”和“-----END NEW CERTIFICATE REQUEST-----”，只要中間的部分。結(jié)果如下所示：

B ．點(diǎn)擊“下載”，如果參考號(hào)、授權(quán)碼和CSR 均無(wú)問(wèn)題，顯示頁(yè)面如下所示。請(qǐng)根據(jù)頁(yè)面上的提示將文本框中的內(nèi)容拷貝下來(lái)，粘貼到一個(gè)新建的文本文件中，并保存，文件名可以是“www.domain.cn.txt ”。

注意：文本框中的內(nèi)容就是此次申請(qǐng)的證書(shū)，請(qǐng)一定將內(nèi)容拷貝保存下來(lái)，如果內(nèi)容丟失，就必須進(jìn)行證書(shū)補(bǔ)辦。

C ．將保存下來(lái)的文本文件的文件類型從.txt 改為.cer ，例如，這就是此次下載下來(lái)的域名證書(shū)。改完后可以雙擊打開(kāi)文件，即可以查看到證書(shū)的具體信息。顯示類似如下（具體內(nèi)容有所不同）：

D ．證書(shū)格式轉(zhuǎn)換。因?yàn)閗eytool 工具所支持的證書(shū)編碼格式問(wèn)題，需要對(duì)證書(shū)的格式進(jìn)行轉(zhuǎn)換。在上圖中，點(diǎn)擊“詳細(xì)信息”->“復(fù)制到文件”后，即可以根據(jù)提示點(diǎn)擊“下一步”將證書(shū)另存一個(gè)文件，得到最終的證書(shū)文件。其中“選擇導(dǎo)出文件格式”時(shí)請(qǐng)選擇“DER 編碼二進(jìn)制X.509(.CER)”，如下圖所示：

2.下載證書(shū)鏈上的其他證書(shū)

點(diǎn)擊證書(shū)下載頁(yè)面的“網(wǎng)址衛(wèi)士第二部分”，將壓縮包下載到本地，解壓縮即可以獲取證書(shū)鏈上的中級(jí)根證書(shū)和根證書(shū)。至此證書(shū)下載完成。

安裝證書(shū)

1. 保存證書(shū)文件

一旦您申請(qǐng)的域名證書(shū)成功頒發(fā)，您會(huì)受到一個(gè)帶有參考號(hào)和授權(quán)碼的密碼信封，然后即可以登錄CNNIC 網(wǎng)站進(jìn)行證書(shū)下載。下載下來(lái)的域名證書(shū)可以保存為www.domain.cn.cer，就是您的域名命名的證書(shū)文件。

進(jìn)行證書(shū)下載時(shí)還需要將證書(shū)鏈上的根證書(shū)和中級(jí)根證書(shū)一并下載保存。

2. 導(dǎo)入證書(shū)

請(qǐng)使用以下命令導(dǎo)入根證書(shū)（假設(shè)保存為root.cer）到您的Keystore 中：

keytool -import -trustcacerts -alias root -file root.cer -keystore

[keystore_name]

請(qǐng)使用以下命令導(dǎo)入中級(jí)根證書(shū)（假設(shè)保存為CNNIC.cer）到您的Keystore 中：

keytool -import -trustcacerts -alias INTER -file CNNIC.cer -keystore

[keystore_name]

請(qǐng)使用以下命令導(dǎo)入您的域名證書(shū)到您的Keystore 中，其中：

keytool -import -trustcacerts -alias [keyEntry_name] -file

www.domain.cn.cer -keystore [keystore_name]

以下圖例為導(dǎo)入測(cè)試證書(shū)：

請(qǐng)注意：如果您在生成 keystore 沒(méi)有指定名稱，則不需要 -keystore 選項(xiàng)。

在運(yùn)行此命令時(shí)會(huì)提示您輸入密碼，也就是您在生成 keystore 時(shí)設(shè)置的密碼。

當(dāng)導(dǎo)入證書(shū)到您的 keystore 時(shí)，一定要使用生成CSR 時(shí)一樣的別名(alias)，同時(shí)使用 -trustcacerts 參數(shù)。如果不指定一樣的別名，將不能安裝成功！

如果您忘了您的別名，請(qǐng)使用如下命令查看您的別名：

keytool –list -keystore [keystore_name] -v

3. 修改Resin 配置文件(resin.conf)

檢查和修改配置文件resin.conf：

.........

true

jks

keys/server.keystore //keystore文件路徑

changeit //keystore密碼

Resin 在文件resin.conf 中保存SSL 配置信息，請(qǐng)確保Resin 能正常讀取keystore 文件和密碼，并且8443端口已經(jīng)打開(kāi)。

請(qǐng)檢查和修改keystoreFile 的目錄正確和keystore 密碼正確。

請(qǐng)保存配置文件，重新啟動(dòng)Resin。

4. 完成配置

請(qǐng)確認(rèn)分配了8443端口（resin默認(rèn)配置為ssl 服務(wù)使用8443端口）和一個(gè)固定的IP 地址給主機(jī)。

在瀏覽器地址欄輸入：https://www.domain.cn：8443(申請(qǐng)證書(shū)的域名)測(cè)試您的域名證書(shū)是否安裝成功，如果成功，則瀏覽器下方會(huì)顯示一個(gè) 安全鎖標(biāo)志。請(qǐng)注意：如果您的網(wǎng)頁(yè)中有不安全的元素，則會(huì)提供“是否顯示不安全的內(nèi)容”，建議修改網(wǎng)頁(yè)刪除不安全的內(nèi)容。

配置成功后，可以根據(jù)自己的需要在resin.conf 中調(diào)整https 所使用的端口，https 訪問(wèn)使用的默認(rèn)端口是443。