祭奠賽門鐵克的ssl證書.此坑是運維到今遇到最坑沒有之一,搞了兩天時間,說一下場景
1,朋友公司的tomcat的ssl證書就要過期了,他就購買了鼎鼎大名的賽門鐵克的ssl證書,說一下他的命令操作
1.1,他先用命令生成祕鑰庫 (其中提示填密碼,然後就公司啊,地點,什麼什麼什麼的,如果是測試環境自己可以隨便填,生產環境就根據實際情況填寫)
keytool -genkey -alias xxxx(這個別名很關鍵,之後的一些別名必須一致) -keyalg RSA -keystore qqqqq(祕鑰庫隨便你怎麼命名,不過命名規範點,B格會高點) -keysize 2048 #執行完之後,你可以直接ls 看得到一個qqqqq的文件
1.2,生成CSR文件,這個文件比較重要,這個文件需要發給賽門鐵克添加到證書的信息的
keytool -certreq -alias xxxx(這個別名很關鍵,之後的一些別名必須一致) -file xxxxx.csr(就是這個B) -keystore qqqqq(祕鑰庫隨便你怎麼命名,不過命名規範點,B格會高點) -sigalg SHA256withRSA
1.3然後就到賽門鐵克的網站下載屬於你的證書,你會看到有3個文件,只有兩個是有用的.他們就是(IntermediateCA.cer , ssl_certificate.cer) 也許有些公司的比較高級會多一兩個,再說一個重點,就是倒入的時候順序必須要對,先導入IntermediateCA.cer, 之後再導入ssl_certificate.cer
1.4,導入CA證書IntermediateCA.cer
keytool -import -alias root(這個別名不可以與上面的別名一樣,不然就會報這個標題的錯) -file IntermediateCA.cer -keystore qqqqq(祕鑰庫隨便你怎麼命名,不過命名規範點,B格會高點) #輸入 yes 就可以了
1.5.導入證書文件ssl_certificate.cer
keytool -import -trustcacerts \
-keystore qqqqq(祕鑰庫隨便你怎麼命名,不過命名規範點,B格會高點) \
-storepass ########(這個是密碼) \
-alias xxxx(這個別名很關鍵,之後的一些別名必須一致) \
-file ssl_certificate.cer
執行完大功告成,然後你可以導出一種人看的格式看看到底是什麼玩意
keytool -list -v -keystore qqqqq(祕鑰庫隨便你怎麼命名,不過命名規範點,B格會高點) > kkk.txt
最終需要配置給tomcat的那個傢伙就是它了qqqqq(祕鑰庫隨便你怎麼命名,不過命名規範點,B格會高點) 配置到server.xml
配置具體就不說了,留連個重要的
keystoreFile="/tomcat/conf/qqqqq" #路徑
keystorePass="abc123456" #私鑰密碼
keyAlias="xxxx" #別名