提示:建议以下操作不使用谷歌浏览器(该网站的证书不识别...),可以看到我的截图中谷歌换成了ie(没装火狐)...建议该申请使用火狐
前面介绍了下自签名的ssl证书,虽然可以实现https协议访问,但是浏览器总会提示不安全,对用户不太友好,在这里介绍下稍微正规点的CA认证方式。
在某果发布的文章上看到说他们的app要强制要求使用https协议了,让用户去沃通申请免费的ssl证书,结果去沃通官网,发现截至到16年9月份就停止免费申请了
最后不得已使用了startssl 免费ssl证书,官网说的是免费一年...
第一部分 申请免费ssl证书(startssl)
打开官网 https://startssl.com
输入邮箱 让后发送验证码 ,将验证码填入 signup 如下图
输入密码 提交 会提示下载
当前下载的证书(以.p12结尾)是登陆这个网站的密钥建议保存,是以后登陆该网站都需要的凭证 ,双击安装然后重新访问官网
单击here
输入域名, 提交.如下图
接下来是填写二级域名 这里只截了下半部分图
上图是提示生成csr文件的方式 openssl命令或下载StartComTool.exe工具
这里使用的openssl命令 直接在linux 中执行:
openssl req -newkey rsa:2048 -keyout yourname.key -out yourname.csr
ls 可以看到生成了yourname.key和yourname.csr 2个文件
将csr文件的内容复制到下面的文本框并提交,成功的话会提示到证书列表下载证书
到这里免费的ssl证书就申请成功。(下载后压缩文件有4个文件分别对应不同的web服务器)
第二部分 介绍tomcat配置证书
1,解密密钥
可使用命令openssl rsa -in ssl.key -out ssl_decrypted.key,
或者是StartSSL提供的工具: Tool Box - Decrypt Private Key,生成的内容另存为文件,如ssl_decrypted.key
2,生成PKCS12文件 startssl官网生成PKCS12文件
private key 为ssl_decrypted.key(解密密钥) 文件的内容全部(带-----标题的-----)
证书填下载的证书包中的 绑定域名.crt 的内容(带-----标题的-----)
密码 为生成key和csr文件设置的命令
上图
提交后 成功的话可以下载.p12文件(所谓的PKCS12)
3,生成jks文件(tomcat配置需要)
D:ssl>keytool.exe -importkeystore -deststorepass mypwd(应该是设置密码 我这里设置成创建key和csr文件时的密码一样) -destkeystore chbkeystore.jks -srckeystore chb.p12 -srcstoretype PKCS12 -srcstorepass mypwd(创建key和csr文件时的密码)
最终得到 chbkeystore.jks
4,将根证书和1级证书导入到jks文件
导入根证书(在startssl下载的证书OtherServer目录中的 root.crt)
D:ssl>keytool -import -alias startsslca -file OtherServer oot.crt -keystore ch
bkeystore.jks
如图:
导入1级证书 (在startssl下载的证书OtherServer目录中的1_Intermediate.crt文件)
D:ssl>keytool -import -alias startsslca2 -file OtherServer1_Intermediate.crt -
keystore chbkeystore.jks
5,配置Tomcat(这里和自签名ssl配置类似)
修改Tomcat目录下confg目录中的server.xml文件。
主要加keystoreFile(文件路径) 和keystorePass(密码) 属性
自签名证书生成和配置可以参考 自签名ssl证书
如果读者还不清楚(或者需要了解nginx,apache 等服务器配置ssl)的话可以参考 微信官方文档的配置说明
本文参考:http://blog.csdn.net/ruixue0117/article/details/23923395