文档章节

免费https SSL证书申请、配置心得

她吃西红柿
 她吃西红柿
发布于 2016/12/26 13:25
字数 1564
阅读 301
收藏 3

前言

在WWDC 2016上,苹果在发布iOS 9的同时也向开发者传递了一个消息,那就是到2017年1月1日时App Store中所有应用都必须启用 App Transport Security应用程序安全传输协议,从而提升应用和系统安全性。

不过前几日苹果在其开发者网站上表示将延长该规定的截止日期,以便给开发者更多的时间做好切换工作。

以下是开发者网站公告原文:

大概意思就是

在2016年WWDC上我们宣布在今年年底之前,提交到App Store的应用程序必须支持应用传输安全协议。为了给你们充裕的时间去准备,这个截止日期已被延长,当新的截止日期确定的时候,我们将及时提供相关信息。

技术总结,各种抄袭,各位看不懂的自己好好谷歌!

1、申请免费SSL证书(提供泛域名支持)
申请流程:
(1)提供CSR文件
(2)填写信息
(3)验证邮箱
(4)收取证书安装
申请要求:CSR文件,域名邮箱或者whois邮箱(不能带whois保护),同时域名邮箱也有相应的要求
(必须是相应的管理类邮箱 admin@xxx.com/webmaster@xxx.com)

CSR证书比较简单,自行生成或者在线生成,推荐使用在线生成:直接贴地址:
https://www.chinassl.net/ssltools/generator-csr.html
提醒:记得申请的时候一定要选中最下面的发送邮箱选项,不然后面就悲催了。。。

申请证书地址:(国外的,速度慢的自己翻墙吧。)
https://assl.loovit.net/
打开页面之后,复制粘贴CSR文件内容进去,全部(begin end部分也要带)
email地址最好是写管理类的域名邮箱,不然后面还得验证。

下面的姓名电话可选,没有太大意义。强迫症患者你就写上吧。

点击verify按钮,稍等几秒弹出提示:你提供的CSR属于xxx.xxx.com域名,检查下是否正确。

点击确定

开始转圈中。。。。。。

进入验证邮箱界面,选择一个你可以正常使用的域名邮箱地址,然后就等着吧。提示成功后,稍等接收邮件!

mark:国外人的作息时间不太懂,自己选择一个合适的时间去申请。

邮件部分(重要部分,不看后悔):

1、2封邮件都有重要作用(1.申请CSR的时候发送的邮件;2.证书申请成功的邮件)

CSR邮件中的privatekey部分在证书安装的时候需要用到,切记要保存;
证书申请成功邮件最下面以文本形式发给你的也要保存;

!!!!重点来了:

邮件中的quick installation guide部分是安装证书说明,但是我可以很负责任的告诉你,尼玛,这就是坑爹的
实际安装比这麻烦点

正题来了,证书的安装,因为我们的web端是tomcat架设的,查了下相关证书的配置文档和博文,发现也就是p12类型的比较好弄

所以这里就暂定了使用.p12证书的方式来更换证书

在开始之前我先说下我的系统环境

Mac OSX 10.12.1  java jdk 1.8 openssl(系统自带)

准备文件:

2个crt  

将证书申请通过后的邮件最下方的begin开头,end结尾的复制粘贴一个.txt文件出来
邮件中的安装指南中

2) Retrieve the Intermediate Certificate (selecting SHA-1 or SHA-256 as appropriate) 
from the Support Center at:
https://www.alphassl.com/support/install-root-certificate.html
去这个网址复制粘贴一个SHA-1 或者SHA-256的.txt出来

这就是准备的两个crt文件的前期txt文件,比较绕口,算了,你这里可以直接改为.crt,切记不要重名。

1个key

最开始申请CSR的时候发送邮件里面的privatekey复制粘贴出来一个.key文件

以上三个文件放在同一个文件夹中,题外话:这三个文件不能直接用的,需要合并之后才可以正常使用

合并步骤:

1、生成有效的pkcs12文件:

(1)打开终端命令行;
(2)进入crt和key文件所在文件夹;
(3)执行命令:cat key.key xxx1.crt xxx2.crt > xxx.pem (首先将三个文件合并,生成一个.pem文件)
(4)执行命令:openssl pkcs12 -export -in xxx.pem -passin pass:0537xxx -out xxx.com.p12 -passout pass:0537xxx
    //  最后我们看到的xxx.com.p12文件   切记:0537xxx  是设置的密码,后面设置的时候需要用到,自己记住。
(5)keytool -list -rfc -keystore xxx.com.p12 -storepass 0537xxx 输出下文件内容,确保不会出错。

提醒:在执行第四步操作的时候很可能会出错
nginx: [emerg] PEM_read_bio_X509_AUX("/root/domain.crt") failed (SSL: error:0906D066:PEM routines:PEM_read_bio:bad end line)
是因为我们在合并crt和key文件的时候有分隔符出现问题。
使用你的文本编辑器打开xxx.pem(第三步合并后的文件),你会发现,每个end和之后的begin合并在了一行,默认end后面是5个-然后回车换行的。
这里直接从end和begin之间的----------中间硬回车,问题解决。


实际第五步如果执行成功,这个P12文件已经是可以正常使用的了。

下面就是简单的tomcat如何配置https SSL证书的问题了。百度一堆教程,这里不做过多的解释,直接上操作步骤

(1)将生成好的.p12文件上传到阿里云esc服务器的tomcat目录下面  scp  /usr/xxx/xxx.com.p12 root@xxx.xxx.com:/server/tomcat/ (scp命令如何使用自己百度)
(2)ssh连接阿里云服务器,进入服务器tomcat目录
(3)命令行操作:vi conf/server.xml
(4)找到以下代码    
                <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
                            SSLEnabled="true"
                    maxThreads="150" scheme="https" secure="true"
                    clientAuth="false" sslProtocol="TLS"
                    keystoreFile="server/tomcat/xxx.com.p12" keystoreType = "PKCS12"
                    keystorePass="0537xxx"/>
在这里设置下keystoreFile:.p12文件具体地址(注意:阿里云貌似需要全路径)
          keystoreType:文件类型:PKCS12
          keystorePass:证书密码,合并步骤34中你输入的密码

基本搞定,结束编辑,保存,退出,重启tomcat!!!!
 

本文转载自:

她吃西红柿
粉丝 43
博文 52
码字总数 25812
作品 0
杭州
iOS工程师
私信 提问
【转载】网站配置Https证书系列(二):IIS服务器给网站配置Https证书

针对网站的Https证书,即SSL证书,腾讯云、阿里云都提供了免费的SSL证书申请,SSL证书申请下来后,就需要将SSL证书配置到网站中,如果网站使用的Web服务器是IIS服务器,则需要在IIS服务器给网...

江湖逍遥
05/15
0
0
【转载】网站配置Https证书系列(一):腾讯云申请免费的SSL证书的流程步骤(即https安全连接使用的证书)

很多网站为了安全性考虑都会上https安全连接,此时就需要考虑使用SSL证书,其实在腾讯云这边提供有免费的SSL证书申请,登录腾讯云管理控制台后,进入SSL证书管理页面,里面有个申请免费证书。...

江湖逍遥
05/15
0
0
Linux+Apache下如何安装SSL证书

最近很多站长在问linux系统平台下如何安装SSL证书?Linux+Apache下如何安装SSL证书?本文整理了关于Linux+Apache下如何安装SSL证书的相关教程供大家参考,更多SSL证书安装部署问题可咨询沃通C...

一夜九次
01/21
0
0
Nginx + https + 免费SSL证书配置指南

生成证书 $ cd /usr/local/nginx/conf $ openssl genrsa -des3 -out server.key 1024 $ openssl req -new -key server.key -out server.csr $ cp server.key server.key.org $ openssl rsa -......

神勇小白鼠
2011/05/12
2.4K
0
最新阿里云服务器免费SSL证书配置HTTPS的两种方法(图文教程二)

在大家学习如何利用免费SSL证书配置网站HTTPS之前,我们先要搞清楚为什么要开启HTTPS,这个绿色的小锁真的有用吗?所谓的HTTPS其实是(安全套接字层超文本传输协议)是以安全为目标的HTTP通道...

点金米
2018/09/18
0
0

没有更多内容

加载失败,请刷新页面

加载更多

医疗在线客服咨询系统有哪些特点?

随着中国互联网网站的的快速发展,至今医疗行业已经拥有了独立的的运营网站,其中最具特色的便属于医疗在线客服咨询系统,医疗在线客服咨询系统为每个访问网站的患者提供即时的网络在线客服服...

唯喏
今天
10
0
skywalking(容器部署)

skywalking(容器部署) 标签(空格分隔): APM [toc] 1. Elasticsearch SkywalkingElasticsearch 5.X(部分功能报错、拓扑图不显示) Skywalking需要Elasticsearch 6.X docker network create......

JUKE
今天
10
0
解决Unable to find a single main class from the following candidates [xxx,xxx]

一、问题描述 1.1 开发环境配置 pom.xml <plugin><groupId>org.springframework.boot</groupId><artifactId>spring-boot-maven-plugin</artifactId><!--一定要对上springboot版本号,因......

TeddyIH
今天
7
0
玩转Spring Boot 注册Servlet、Filter、Listener

玩转Spring Boot 注册Servlet、Filter、Listener JAVA架构师Ya七月 2019-08-23 玩转Spring Boot 注册Servlet、Filter、Listener 在Servlet 3.0之前我们都是使用web.xml进行配置,需要增加Ser...

Java架构师ya七
今天
6
0
Dubbo服务限制大数据传输抛Data length too large: 13055248, max payload: 8388608解决方案

当dubbo服务提供者向消费层传输大数据容量数据时,会受到Dubbo的限制,报类似如下异常: 2019-08-23 11:04:31.711 [ DubboServerHandler-XX.XX.XX.XXX:20880-thread-87] - [ ERROR ] [com.al...

huangkejie
今天
12
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部