如何安裝HTTPS證書

HTTPS證書安裝

各種WEB服務器的HTTPS證書安裝步驟如下：

• Nginx/Tengine
• Apache
• Tomcat
• IIS 6
• IIS 7/8

---

Nginx/Tengine

安裝證書

文件說明：
1. 證書文件214852718690540.pem，包含兩段內容，請不要刪除任何一段內容。
2. 如果是證書系統創建的CSR，還包含：證書私鑰文件214852718690540.key。
( 1 ) 在Nginx的安裝目錄下創建cert目錄，並且將下載的全部文件拷貝到cert目錄中。如果申請證書時是自己創建的CSR文件，請將對應的私鑰文件放到cert目錄下並且命名爲214852718690540.key；
( 2 ) 打開 Nginx 安裝目錄下 conf 目錄中的 nginx.conf 文件，找到：

# HTTPS server
# #server {
# listen 443;
# server_name localhost;
# ssl on;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_timeout 5m;
# ssl_protocols SSLv2 SSLv3 TLSv1;
# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
# ssl_prefer_server_ciphers on;
# location / {
#
#
#}
#}

( 3 ) 將其修改爲 (以下屬性中ssl開頭的屬性與證書配置有直接關係，其它屬性請結合自己的實際情況複製或調整) :

server {
    listen 443;
    server_name localhost;
    ssl on;
    root html;
    index index.html index.htm;
    ssl_certificate   cert/214852718690540.pem;
    ssl_certificate_key  cert/214852718690540.key;
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    location / {
        root html;
        index index.html index.htm;
    }
}

保存退出。
( 4 )重啓 Nginx。

Apache

安裝證書

文件說明：
1. 證書文件214852718690540.pem，包含兩段內容，請不要刪除任何一段內容。
2. 如果是證書系統創建的CSR，還包含：證書私鑰文件214852718690540.key、證書公鑰文件public.pem、證書鏈文件chain.pem。
( 1 ) 在Apache的安裝目錄下創建cert目錄，並且將下載的全部文件拷貝到cert目錄中。如果申請證書時是自己創建的CSR文件，請將對應的私鑰文件放到cert目錄下並且命名爲214852718690540.key；
( 2 ) 打開 apache 安裝目錄下 conf 目錄中的 httpd.conf 文件，找到以下內容並去掉“#”：

#LoadModule ssl_module modules/mod_ssl.so (如果找不到請確認是否編譯過 openssl 插件)
#Include conf/extra/httpd-ssl.conf

( 3 ) 打開 apache 安裝目錄下 conf/extra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf，與操作系統及安裝方式有關)， 在配置文件中查找以下配置語句:

# 添加 SSL 協議支持協議，去掉不安全的協議
SSLProtocol all -SSLv2 -SSLv3
# 修改加密套件如下
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLHonorCipherOrder on
# 證書公鑰配置
SSLCertificateFile cert/public.pem
# 證書私鑰配置
SSLCertificateKeyFile cert/214852718690540.key
# 證書鏈配置，如果該屬性開頭有 '#'字符，請刪除掉
SSLCertificateChainFile cert/chain.pem

( 4 ) 重啓 Apache。

Tomcat

安裝證書

Tomcat支持JKS格式證書，從Tomcat7開始也支持PFX格式證書，兩種證書格式任選其一。
文件說明：
1. 證書文件214852718690540.pem，包含兩段內容，請不要刪除任何一段內容。
2. 如果是證書系統創建的CSR，還包含：證書私鑰文件214852718690540.key、PFX格式證書文件214852718690540.pfx、PFX格式證書密碼文件pfx-password.txt。
1、證書格式轉換

在Tomcat的安裝目錄下創建cert目錄，並且將下載的全部文件拷貝到cert目錄中。如果申請證書時是自己創建的CSR文件，附件中只包含214852718690540.pem文件，還需要將私鑰文件拷貝到cert目錄，命名爲214852718690540.key；如果是系統創建的CSR，請直接到第2步。

到cert目錄下執行如下命令完成PFX格式轉換命令，此處要設置PFX證書密碼，請牢記：

openssl pkcs12 -export -out 214852718690540.pfx -inkey 214852718690540.key -in 214852718690540.pem

2、PFX證書安裝

找到安裝Tomcat目錄下該文件server.xml,一般默認路徑都是在 conf 文件夾中。找到 <Connection port=”8443”標籤，增加如下屬性：

keystoreFile="cert/214852718690540.pfx"
keystoreType="PKCS12"
#此處的證書密碼，請參考附件中的密碼文件或在第1步中設置的密碼
keystorePass="證書密碼"

完整的配置如下，其中port屬性根據實際情況修改：

<Connector port="8443"
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="cert/214852718690540.pfx"
    keystoreType="PKCS12"
    keystorePass="證書密碼"
    clientAuth="false"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

3、JKS證書安裝(幫助)
( 1 ) 使用java jdk將PFX格式證書轉換爲JKS格式證書(windows環境注意在%JAVA_HOME%/jdk/bin目錄下執行)

keytool -importkeystore -srckeystore 214852718690540.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS

回車後輸入JKS證書密碼和PFX證書密碼，強烈推薦將JKS密碼與PFX證書密碼相同，否則可能會導致Tomcat啓動失敗。
( 2 ) 找到安裝 Tomcat 目錄下該文件Server.xml，一般默認路徑都是在 conf 文件夾中。找到 <Connection port=”8443”標籤，增加如下屬性：

keystoreFile="cert/your-name.jks"
keystorePass="證書密碼"

完整的配置如下，其中port屬性根據實際情況修改：

<Connector port="8443"
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="cert/your-name.jks"
    keystorePass="證書密碼"
    clientAuth="false"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

( 注意:不要直接拷貝所有配置，只需添加 keystoreFile,keystorePass等參數即可，其它參數請根據自己的實際情況修改 )
4、 重啓 Tomcat。

IIS 6

安裝證書

IIS 6 支持PFX格式證書，下載包中包含PFX格式證書和密碼文件。以沃通證書爲例：
文件說明：
1. 證書文件214852718690540.pem，包含兩段內容，請不要刪除任何一段內容。
2. 如果是證書系統創建的CSR，還包含：證書私鑰文件214852718690540.key、PFX格式證書文件214852718690540.pfx、PFX格式證書密碼文件pfx-password.txt。
( 1 ) 證書導入

• 開始 -〉運行 -〉MMC；

• 啓動控制檯程序，選擇菜單“文件”中的”添加/刪除管理單元”-> “添加”，從“可用的獨立管理單元”列表中選擇“證書”-> 選擇“計算機帳戶”；

• 在控制檯的左側顯示證書樹形列表，選擇“個人”->“證書”，右鍵單擊，選擇“所有任務”-〉”導入”, 根據”證書導入嚮導”的提示，導入PFX文件（此過程當中有一步非常重要： “根據證書內容自動選擇存儲區”）。

• 安裝過程當中需要輸入密碼爲您當時設置的密碼。導入成功後,可以看到如圖所示的證書信息。

( 2 ) 分配服務器證書，如圖所示流程。

IIS7/8

安裝證書

IIS 7/8 支持PFX格式證書，下載包中包含PFX格式證書和密碼文件。以沃通證書爲例：
文件說明：
1. 證書文件214852718690540.pem，包含兩段內容，請不要刪除任何一段內容。
2. 如果是證書系統創建的CSR，還包含：證書私鑰文件214852718690540.key、PFX格式證書文件214852718690540.pfx、PFX格式證書密碼文件pfx-password.txt。
( 1 ) 證書導入

• 開始 -〉運行 -〉MMC；

• 啓動控制檯程序，選擇菜單“文件”中的”添加/刪除管理單元”-> “添加”，從“可用的獨立管理單元”列表中選擇“證書”-> 選擇“計算機帳戶”；

• 在控制檯的左側顯示證書樹形列表，選擇“個人”->“證書”，右鍵單擊，選擇“所有任務”-〉”導入”, 根據”證書導入嚮導”的提示，導入PFX文件（此過程當中有一步非常重要： “根據證書內容自動選擇存儲區”）。安裝過程當中需要輸入密碼爲您當時設置的密碼。導入成功後,可以看到如圖所示的證書信息。

( 2 ) 分配服務器證書

• 打開 IIS8.0 管理器面板,找到待部署證書的站點,點擊“綁定”，如圖。

• 設置參數

選擇“綁定”->“添加”->“類型選擇 https” ->“端口 443” ->“ssl 證書【導入的證書名稱】” ->“確定”,SSL 缺省端口爲 443 端口(請不要隨便修改。 如果您使用其他端口如:8443,則訪問時必須輸入:https://www.domain.com:8443)。如圖