Tạo CSR Và Cài đặt Chứng Nhận SSL Trong Tomcat 4.x/5.x/6.x/7.x
Khi bạn yêu cầu chứng nhận SSL, bạn phải cung cấp Yêu cầu xác thực chứng nhận (CSR) từ máy chủ của bạn. CSR bao gồm khóa công khai của bạn, và phải có các nội dung tương tự như mẫu yêu cầu trực tuyến trong tài khoản của bạn. Sau khi yêu cầu của bạn xem xét và chứng nhận của bạn được cấp, tải về và cài đặt tất cả các tập tin được cung cấp để hoàn tất việc cài đặt.
CHÚ Ý: Những bước này mô tả cách thức cài đặt chứng nhận bằng cách sử dụng công cụ khóa, vì vậy bạn phải có Java 2 SDK 1.2 hoặc cao hơn được cài đặt trên máy chủ của bạn.
Tạo Keystore và CSR trong Tomcat
Sử dụng Công cụ khóa, làm theo các bước sau để tạo một keystore và CSR trên máy chủ của bạn.
Để tạo Keystore và CSR trong Tomcat
- Nhập lệnh sau đây vào công cụ khóa để tạo keystore:
- Nhập Mật khẩu. Mặc định là changeit.
- Nhập Thông tin phân biệt:
- Tên và họ — Tên miền hoàn toàn đủ điều kiện, hoặc URL mà bạn muốn bảo mật. Nếu bạn yêu cầu chứng nhận ký tự đại diện, thêm dấu sao (*) vào bên trái của tên chung mà bạn muốn có ký tự đại diện, ví dụ *.coolexample.com.
- Đơn vị tổ chức — Tùy chọn. Nếu có thể, bạn có thể nhập tên DBA vào trường này.
- Tổ chức — Tên pháp lý đầy đủ của tổ chức của bạn. Tổ chức liệt kê phải là tổ chức đăng ký hợp pháp cho tên miền trong yêu cầu chứng nhận. Nếu bạn ghi danh với tư cách cá nhân, vui lòng nhập tên người yêu cầu chứng nhận vào Tổ chức, và tên DBA (Tên thương mại) vào Đơn vị tổ chức.
- Thành phố — Tên của thành phố nơi đăng ký/đặt tổ chức của bạn - không viết tắt.
- Bang/Tỉnh — Tên của tiểu bang hoặc tỉnh nơi đặt tổ chức của bạn - không viết tắt.
- Mã quốc gia — Mã quốc gia theo định dạng hai chữ cái theo Chuẩn Tổ chức Quốc tế (ISO) nơi đăng ký hợp pháp tổ chức của bạn.
- Nhập lệnh sau đây vào công cụ khóa để tạo CSR:
- Nhập Mật khẩu bạn cung cấp trong Bước 2.
- Mở tập tin CSR, sao chép tất cả văn bản, gồm
----BẮT ĐẦU YÊU CẦU CHỨNG NHẬN MỚI----
và----KẾT THÚC YÊU CẦU CHỨNG NHẬN----
- Dán tất cả văn bản vào mẫu yêu cầu trực tuyến và hoàn thành đơn của bạn.
Để biết thêm thông tin về cách điền vào mẫu yêu cầu trực tuyến, xem Yêu cầu chứng nhận SSL.
Sau khi bạn gửi đơn, chúng tôi bắt đầu rà soát yêu cầu của bạn. Bạn sẽ nhận được email có thêm các thông tin khi quy trình này hoàn tất.
Cài đặt SSL của bạn vào Tomcat
Sau khi chứng nhận được cấp, tải xuống từ Quản lý chứng nhận và đặt vào cùng thư mục với keystore của bạn. Sau đó, sử dụng công cụ khóa, nhập vào các lệnh sau để cài đặt các chứng nhận.
Các tên tập tin cho các chứng nhận gốc và các chứng nhận trung gian phụ thuộc vào thuật toán chữ ký của bạn.
- Chứng nhận gốc SHA-1:
sf_class2_root.crt
- Chứng nhận gốc SHA-2:
sfroot-g2.crt
- Chứng nhận trung gian SHA-1:
sf.intermediate.crt
- Chứng nhận trung gian SHA-2:
sfig2.crt
Bạn không nên sử dụng chứng nhận SSL với thuật toán SHA-1 (thêm thông tin).
Bạn cũng có thể tải về các chứng nhận từ thư mục thư mục.
Để cài đặt SSL của bạn vào Tomcat
- Cài đặt chứng nhận gốc bằng cách chạy lệnh sau:
keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file tên chứng nhận gốc>
- Cài đặt chứng nhận trung gian bằng cách chạy lệnh sau:
keytool -import -alias intermed -keystore tomcat.keystore -trustcacerts -file tên lệnh trung gian>
- Cài đặt chứng nhận được cấp vào keystore bằng cách chạy lệnh sau:
keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file tên chứng nhận> - Cập nhật tập tin
server.xml
với vị trí keystore chính xác trong thư mục Tomcat.CHÚ Ý: Kết nối HTTPS được đặt thành nhận xét theo mặc định. Xóa bỏ các thẻ nhận xét để kích hoạt HTTPS.
- Tomcat 4.x — Cập nhật các yếu tố sau đây trong server.xml cho Tomcat 4.x:
clientAuth="false" protocol="TLS" keystoreFile="/etc/tomcat5/tomcat.keystore" keystorePass="changeit" /> - Tomcat 5.x, 6.x và 7.x — Cập nhật các yếu tố sau đây server.xml cho Tomcat 5.x, 6.x và 7.x:
<-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
- Tomcat 4.x — Cập nhật các yếu tố sau đây trong server.xml cho Tomcat 4.x: