證書安裝指引

最近更新時間：2018-12-12 16:26:09

 檢視pdf

• 1. Apache 2.x 證書部署
• 2. Nginx 證書部署
• 3. IIS 證書部署
• 4. Tomcat 證書部署

下載得到的 www.domain.com.zip 檔案，解壓獲得3個資料夾，分別是 Apache、IIS、Nginx 伺服器的證書檔案。
下面提供了4類伺服器證書安裝方法的示例：

1. Apache 2.x 證書部署

1.1 獲取證書

Apache資料夾內獲得證書檔案 1_root_bundle.crt，2_www.domain.com_cert.crt

 和私鑰檔案 3_www.domain.com.key。
1_root_bundle.crt 檔案包括一段證書程式碼 “-----BEGIN CERTIFICATE-----” 和 “-----END CERTIFICATE-----”,
2_www.domain.com_cert.crt 檔案包括一段證書程式碼 “-----BEGIN CERTIFICATE-----” 和 “-----END CERTIFICATE-----”,
3_www.domain.com.key 檔案包括一段私鑰程式碼 “-----BEGIN RSA PRIVATE KEY-----” 和 “-----END RSA PRIVATE KEY-----”。

1.2 證書安裝

1）編輯 Apache 根目錄下 conf/d.conf 檔案，找到 #LoadModule ssl_module modules/mod_ssl.so 和 #Include conf/extra/httpd-ssl.conf，去掉程式碼前面的 #號。

2）編輯 Apache 根目錄下 conf/extra/httpd-ssl.conf 檔案，修改成如下內容：

•  

<VirtualHost 0.0.0.0:443>
    DocumentRoot "/var/www/html"
    ServerName www.domain.com
    SSLEngine on
    SSLCertificateFile /usr/local/apache/conf/2_www.domain.com_cert.crt
    SSLCertificateKeyFile /usr/local/apache/conf/3_www.domain.com.key
    SSLCertificateChainFile /usr/local/apache/conf/1_root_bundle.crt
</VirtualHost>
 

配置完成後，重啟 Apache 即可使用 https://www.domain.com 來訪問。

相關引數說明如下：

配置檔案引數	說明
SSLEngine on	啟用 SSL 功能
SSLCertificateFile	證書檔案
SSLCertificateKeyFile	私鑰檔案
SSLCertificateChainFile	證書鏈檔案

2. Nginx 證書部署

2.1 獲取證書

Nginx 資料夾內獲得 SSL 證書檔案 1_www.domain.com_bundle.crt 和私鑰檔案 2_www.domain.com.key。
1_www.domain.com_bundle.crt 檔案包括兩段證書程式碼 “-----BEGIN CERTIFICATE-----” 和 “-----END CERTIFICATE-----”,
2_www.domain.com.key 檔案包括一段私鑰程式碼 “-----BEGIN RSA PRIVATE KEY-----” 和 “-----END RSA PRIVATE KEY-----”。

2.2 證書安裝

將域名 www.domain.com 的證書檔案 1_www.domain.com_bundle.crt 、私鑰檔案 2_www.domain.com.key 儲存到同一個目錄，例如 /usr/local/nginx/conf 目錄下。
修改 Nginx 根目錄下 conf/nginx.conf 檔案，內容如下：

•  

server {
        listen 443;
        server_name www.domain.com; #填寫繫結證書的域名
        ssl on;
        ssl_certificate 1_www.domain.com_bundle.crt;
        ssl_certificate_key 2_www.domain.com.key;
        ssl_session_timeout 5m;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #按照這個協議配置
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;#按照這個套件配置
        ssl_prefer_server_ciphers on;
        location / {
            root   html; #站點目錄
            index  index.html index.htm;
        }
    }

配置完成後，請先執行命令 bin/nginx –t 測試 Nginx 配置是否有誤。若無報錯，重啟 Nginx 之後，即可使用 https://www.domain.com來訪問。

相關引數說明如下：

配置檔案引數	說明
listen 443	SSL 訪問埠號為 443
ssl on	啟用 SSL 功能
ssl_certificate	證書檔案
ssl_certificate_key	私鑰檔案
ssl_protocols	使用的協議
ssl_ciphers	配置加密套件，寫法遵循 openssl 標準

2.3 使用全站加密，HTTP 自動跳轉 HTTPS（可選）

對於使用者不知道網站可以進行 HTTPS 訪問的情況下，讓伺服器自動把 HTTP 的請求重定向到 HTTPS。
在伺服器這邊的話配置的話，可以在頁面里加 js 指令碼，也可以在後端程式裡寫重定向，當然也可以在 web 伺服器來實現跳轉。Nginx 是支援 rewrite 的（只要在編譯的時候沒有去掉 pcre）
在 HTTP 的 server 裡增加 rewrite ^(.*) https://$host$1 permanent;
這樣就可以實現 80 進來的請求，重定向為 HTTPS 了。

3. IIS 證書部署

3.1 獲取證書

IIS 資料夾內獲得SSL證書檔案 www.domain.com.pfx 。

3.2 證書安裝

1、開啟 IIS 服務管理器，單擊計算機名稱，雙擊 “伺服器證書”。

2、雙擊開啟伺服器證書後，單擊右則的匯入。

3、選擇證書檔案，如果輸入申請證書時有填寫私鑰密碼需要輸入密碼，否則輸入資料夾中密碼檔案 keystorePass.txt 的密碼內容，單擊確定。具體操作請 參考私鑰密碼指引。

4、單擊網站下的站點名稱，單擊右則的繫結。

5、開啟網站繫結介面後，單擊新增。

6、新增網站繫結內容：選擇型別為 HTTPS，埠443和指定對應的 SSL 證書，單擊確定。

7、新增完成後，網站繫結介面將會看到剛剛新增的內容。

4. Tomcat 證書部署

4.1 獲取證書

如果申請證書時有填寫私鑰密碼，下載可獲得 Tomcat 資料夾，其中有金鑰庫 www.domain.com.jks。
如果沒有填寫私鑰密碼，證書下載包的 Tomcat 資料夾中包括金鑰庫檔案 www.domain.com.jks 與金鑰庫密碼檔案keystorePass.txt。
當用戶選擇貼上 CSR 時，不提供 Tomcat 證書檔案的下載，需要使用者手動轉換格式生成,操作方法如下：

可以通過 Nginx 資料夾內證書檔案和私鑰檔案生成jks格式證書
轉換工具：https://www.trustasia.com/tools/cert-converter.htm
使用工具時注意填寫 金鑰庫密碼 ，安裝證書時配置檔案中需要填寫。

4.2 證書安裝

配置SSL聯結器，將 www.domain.com.jks 檔案存放到 conf 目錄下，然後配置同目錄下的 server.xml 檔案：

•  

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    keystoreFile="conf/www.domain.com.jks"
    keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

說明：

如需更多幫助，請檢視 Tomcat 官方指導文件。

相關引數說明如下：

配置檔案引數	說明
clientAuth	如果設為 true，表示 Tomcat 要求所有的 SSL 客戶出示安全證書，對 SSL 客戶進行身份驗證
keystoreFile	指定 keystore 檔案的存放位置，可以指定絕對路徑，也可以指定相對於 <CATALINA_HOME> （Tomcat安裝目錄）環境變數的相對路徑。如果此項沒有設定，預設情況下，Tomcat 將從當前作業系統使用者的使用者目錄下讀取名為 “.keystore” 的檔案。
keystorePass	金鑰庫密碼，指定 keystore 的密碼。（如果申請證書時有填寫私鑰密碼，金鑰庫密碼即私鑰密碼，否則填寫金鑰庫密碼檔案中的密碼）
sslProtocol	指定套接字（Socket）使用的加密/解密協議，預設值為 TLS

4.3 HTTP 自動跳轉 HTTPS 的安全配置

找到 conf 目錄下的 web.xml 檔案， 在該檔案的 </welcome-file-list> 下面，新增以下內容：

•  

<login-config>
    <!-- Authorization setting for SSL -->
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>Client Cert Users-only Area</realm-name>
    </login-config>
    <security-constraint>
    <!-- Authorization setting for SSL -->
    <web-resource-collection>
    <web-resource-name>SSL</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>

為了讓非 SSL 的 connector 可以跳轉到 SSL 的 connector 中，還需要前往 server.xml 進行配置：

•  

<Connector port="8080" protocol="HTTP/1.1"
    connectionTimeout="20000"
    redirectPort="443" />

redirectPort 改成 SSL 的 connector 的埠443，重啟後便會生效。