HTTPS證書安裝
各種WEB服務器的HTTPS證書安裝步驟如下:
- Nginx/Tengine
- Apache
- Tomcat
- IIS 6
- IIS 7/8
Nginx/Tengine
安裝證書
文件說明:
1. 證書文件214852718690540.pem,包含兩段內容,請不要刪除任何一段內容。
2. 如果是證書系統創建的CSR,還包含:證書私鑰文件214852718690540.key。
( 1 ) 在Nginx的安裝目錄下創建cert目錄,並且將下載的全部文件拷貝到cert目錄中。如果申請證書時是自己創建的CSR文件,請將對應的私鑰文件放到cert目錄下並且命名爲214852718690540.key;
( 2 ) 打開 Nginx 安裝目錄下 conf 目錄中的 nginx.conf 文件,找到:
# HTTPS server
# #server {
# listen 443;
# server_name localhost;
# ssl on;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_timeout 5m;
# ssl_protocols SSLv2 SSLv3 TLSv1;
# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
# ssl_prefer_server_ciphers on;
# location / {
#
#
#}
#}
( 3 ) 將其修改爲 (以下屬性中ssl開頭的屬性與證書配置有直接關係,其它屬性請結合自己的實際情況複製或調整) :
server {
listen 443;
server_name localhost;
ssl on;
root html;
index index.html index.htm;
ssl_certificate cert/214852718690540.pem;
ssl_certificate_key cert/214852718690540.key;
ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
location / {
root html;
index index.html index.htm;
}
}
保存退出。
( 4 )重啓 Nginx。
Apache
安裝證書
文件說明:
1. 證書文件214852718690540.pem,包含兩段內容,請不要刪除任何一段內容。
2. 如果是證書系統創建的CSR,還包含:證書私鑰文件214852718690540.key、證書公鑰文件public.pem、證書鏈文件chain.pem。
( 1 ) 在Apache的安裝目錄下創建cert目錄,並且將下載的全部文件拷貝到cert目錄中。如果申請證書時是自己創建的CSR文件,請將對應的私鑰文件放到cert目錄下並且命名爲214852718690540.key;
( 2 ) 打開 apache 安裝目錄下 conf 目錄中的 httpd.conf 文件,找到以下內容並去掉“#”:
#LoadModule ssl_module modules/mod_ssl.so (如果找不到請確認是否編譯過 openssl 插件)
#Include conf/extra/httpd-ssl.conf
( 3 ) 打開 apache 安裝目錄下 conf/extra/httpd-ssl.conf 文件 (也可能是conf.d/ssl.conf,與操作系統及安裝方式有關), 在配置文件中查找以下配置語句:
# 添加 SSL 協議支持協議,去掉不安全的協議
SSLProtocol all -SSLv2 -SSLv3
# 修改加密套件如下
SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM
SSLHonorCipherOrder on
# 證書公鑰配置
SSLCertificateFile cert/public.pem
# 證書私鑰配置
SSLCertificateKeyFile cert/214852718690540.key
# 證書鏈配置,如果該屬性開頭有 '#'字符,請刪除掉
SSLCertificateChainFile cert/chain.pem
( 4 ) 重啓 Apache。
Tomcat
安裝證書
Tomcat支持JKS格式證書,從Tomcat7開始也支持PFX格式證書,兩種證書格式任選其一。
文件說明:
1. 證書文件214852718690540.pem,包含兩段內容,請不要刪除任何一段內容。
2. 如果是證書系統創建的CSR,還包含:證書私鑰文件214852718690540.key、PFX格式證書文件214852718690540.pfx、PFX格式證書密碼文件pfx-password.txt。
1、證書格式轉換
在Tomcat的安裝目錄下創建cert目錄,並且將下載的全部文件拷貝到cert目錄中。如果申請證書時是自己創建的CSR文件,附件中只包含214852718690540.pem文件,還需要將私鑰文件拷貝到cert目錄,命名爲214852718690540.key;如果是系統創建的CSR,請直接到第2步。
到cert目錄下執行如下命令完成PFX格式轉換命令,此處要設置PFX證書密碼,請牢記:
openssl pkcs12 -export -out 214852718690540.pfx -inkey 214852718690540.key -in 214852718690540.pem
2、PFX證書安裝
找到安裝Tomcat目錄下該文件server.xml,一般默認路徑都是在 conf 文件夾中。找到 <Connection port=”8443”標籤,增加如下屬性:
keystoreFile="cert/214852718690540.pfx"
keystoreType="PKCS12"
#此處的證書密碼,請參考附件中的密碼文件或在第1步中設置的密碼
keystorePass="證書密碼"
完整的配置如下,其中port屬性根據實際情況修改:
<Connector port="8443"
protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="cert/214852718690540.pfx"
keystoreType="PKCS12"
keystorePass="證書密碼"
clientAuth="false"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
3、JKS證書安裝(幫助)
( 1 ) 使用java jdk將PFX格式證書轉換爲JKS格式證書(windows環境注意在%JAVA_HOME%/jdk/bin目錄下執行)
keytool -importkeystore -srckeystore 214852718690540.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS
回車後輸入JKS證書密碼和PFX證書密碼,強烈推薦將JKS密碼與PFX證書密碼相同,否則可能會導致Tomcat啓動失敗。
( 2 ) 找到安裝 Tomcat 目錄下該文件Server.xml,一般默認路徑都是在 conf 文件夾中。找到 <Connection port=”8443”標籤,增加如下屬性:
keystoreFile="cert/your-name.jks"
keystorePass="證書密碼"
完整的配置如下,其中port屬性根據實際情況修改:
<Connector port="8443"
protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="cert/your-name.jks"
keystorePass="證書密碼"
clientAuth="false"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
( 注意:不要直接拷貝所有配置,只需添加 keystoreFile,keystorePass等參數即可,其它參數請根據自己的實際情況修改 )
4、 重啓 Tomcat。
IIS 6
安裝證書
IIS 6 支持PFX格式證書,下載包中包含PFX格式證書和密碼文件。以沃通證書爲例:
文件說明:
1. 證書文件214852718690540.pem,包含兩段內容,請不要刪除任何一段內容。
2. 如果是證書系統創建的CSR,還包含:證書私鑰文件214852718690540.key、PFX格式證書文件214852718690540.pfx、PFX格式證書密碼文件pfx-password.txt。
( 1 ) 證書導入
• 開始 -〉運行 -〉MMC;
• 啓動控制檯程序,選擇菜單“文件”中的”添加/刪除管理單元”-> “添加”,從“可用的獨立管理單元”列表中選擇“證書”-> 選擇“計算機帳戶”;
• 在控制檯的左側顯示證書樹形列表,選擇“個人”->“證書”,右鍵單擊,選擇“所有任務”-〉”導入”, 根據”證書導入嚮導”的提示,導入PFX文件(此過程當中有一步非常重要: “根據證書內容自動選擇存儲區”)。
• 安裝過程當中需要輸入密碼爲您當時設置的密碼。導入成功後,可以看到如圖所示的證書信息。
( 2 ) 分配服務器證書,如圖所示流程。
IIS7/8
安裝證書
IIS 7/8 支持PFX格式證書,下載包中包含PFX格式證書和密碼文件。以沃通證書爲例:
文件說明:
1. 證書文件214852718690540.pem,包含兩段內容,請不要刪除任何一段內容。
2. 如果是證書系統創建的CSR,還包含:證書私鑰文件214852718690540.key、PFX格式證書文件214852718690540.pfx、PFX格式證書密碼文件pfx-password.txt。
( 1 ) 證書導入
• 開始 -〉運行 -〉MMC;
• 啓動控制檯程序,選擇菜單“文件”中的”添加/刪除管理單元”-> “添加”,從“可用的獨立管理單元”列表中選擇“證書”-> 選擇“計算機帳戶”;
• 在控制檯的左側顯示證書樹形列表,選擇“個人”->“證書”,右鍵單擊,選擇“所有任務”-〉”導入”, 根據”證書導入嚮導”的提示,導入PFX文件(此過程當中有一步非常重要: “根據證書內容自動選擇存儲區”)。安裝過程當中需要輸入密碼爲您當時設置的密碼。導入成功後,可以看到如圖所示的證書信息。
( 2 ) 分配服務器證書
• 打開 IIS8.0 管理器面板,找到待部署證書的站點,點擊“綁定”,如圖。
• 設置參數
選擇“綁定”->“添加”->“類型選擇 https” ->“端口 443” ->“ssl 證書【導入的證書名稱】” ->“確定”,SSL 缺省端口爲 443 端口(請不要隨便修改。 如果您使用其他端口如:8443,則訪問時必須輸入:https://www.domain.com:8443)。如圖