HTTPS(SSL / TLS)免費證書申請及網站證書部署實戰總結
伺服器環境:windows server 2008 + tomcat7
廢話不多說,先看部署效果:
一、免費證書申請
ofollow,noindex">Let's Encrypt 簡介:let's Encrypt 是一個免費的開放的非盈利證書頒發機構, 截至2018年7月底,Let's Encrypt root(ISRG Root X1)直接受到Microsoft產品的信任。
目前受到所有主要root程式的信任,包括Microsoft,Google,Apple,Mozilla,Oracle和Blackberry 。即所有主流作業系統環境及瀏覽器均已信任該機構頒發的證書。
******************************************************************
根據官方的要求,我們在VPS、伺服器上部署Let's Encrypt免費SSL證書之前,需要系統支援Python2.7以上版本以及支援GIT工具。這種方式沒有研究過,有興趣的
小夥伴可以研究下。
這裡我們採用LEGainer - windows下Let's Encrypt證書申請工具來申請證書(申請成功的前提是網址能通過域名正常訪問,如果還沒有搭建好網址,可以先搭建網址,再申請ssl證書)
第一步:工具下載地址: https://pan.baidu.com/s/1BVKwXccF7m2AkDWgWh480A
第二步:解壓工具,修改配置
解壓檔案後開啟LEGainer.exe.config 修改配置節點
如下圖:
Mail:是你的聯絡郵箱
Domain:是你要申請證書的域名
WebDir:是你網站的本地目錄,LEGainer在申請證書過程中會在此目錄生成檔案,Let's Encrypt會通過域名訪問生成的檔案,所以請確保域名正確解析和繫結。
CertificateSaveDir:是證書申請下來後的儲存目錄。
PFXPassword:是pfx證書的密碼。
第三步:在域名所在的主機,執行LEGainer.exe 生成證書;
出現“success!~Enter press any key exit!”字樣時,證書就生成成功了。
假設你申請證書的域名為:www.travellight.xyz,那麼LEGainer會生成如下幾個證書檔案:
_certificate.der 是證書檔案,der格式
_certificate.pem 是證書pem格式
_csr.pem 是證書籤名請求檔案
_key.pem 是私鑰檔案
_pkcs12.pfx 是iis用的存放證書和私鑰的檔案
_chain.pem 是證書鏈
第四步:合成tomcat需要的.jks證書
這裡我採用線上生成 當然也可以自己用工具生成
線上合成地址: https://www.myssl.cn/tools/merge-jks-cert.html
金鑰檔案(KEY檔案):www.travellight.xyz_key.pem
證書檔案(CRT/CER檔案):www.travellight.xyz_certificate.pem
合成時需填寫JKS密碼(一定要記住,tomcat配置中需要填寫),合成後會生成JKS檔案 我生成的是 travellight.jks
第五步:將travellight.jks 檔案拷貝至伺服器tomcat conf 目錄中,修改tomcat配置
開啟 tomcat/conf 目錄下server.xml檔案修改配置:
(1)一般tomcat7中該段配置預設是註釋掉的,去掉註釋,按如下新增配置並將預設埠8443改為443(修改原因:實測如果使用8443作為ssl端 口,http[http://www.travellight.xyz]重定向時瀏覽器網址欄中會在域名後帶上8443埠如:https://www.travellight.xyz:8443,
直接用https://www.travellight.xyz無法訪問網站,使用443埠則不存在此問題)
(2)修改以下兩處重定向埠
第六步: 開啟443外網埠
如果不開啟443埠,則無法使用https證書功能,我使用的是阿里雲伺服器ECS,通過管理控制檯-安全組規則可開放外網埠,
如果是其他雲伺服器或自己的路由器請自行搜尋開啟外網埠方法
第七步: 重啟tomcat,瀏覽器訪問網址
字首自動顯示為https.谷歌瀏覽器位址列中有個鎖的圖示
至此完成!!!
**************************************************************
參考內容:
http://www.laozuo.org/7676.html