StartSSL 免费证书申请步骤以及Tomcat和Apache下的安装

StartSSL 免费证书申请步骤
1、客户端认证申请

StartSSL用户认证使用的是Https客户端证书认证而非用户名/密码认证。因此第一步是申请StartSSL客户端证书。

(整个申请过程可参考链接:http://jeeker.net/article/apply-ssl-certificat-for-domain-from-startssl/

 

1)  填写申请单,首页-sign up free 。注意邮箱必须真实,电话,地址等看上去像私人的而非公司的,必须使用英文填写。

2)  到邮箱接收邮件,填写认证码。

3)  等待审核,一般6小时内会审核完毕。到邮箱接收邮件,收到邮件后要在24小时内申请客户端证书。

4)  申请客户端证书。申请成功后,注意备份证书,在IE 选项—内容—证书—个人—导出窗口中。

 

 

在申请时需要注意的几个问题:

1)  StartSSL针对的是私人注册,而非组织认证,因此填写的地址信息,电话信息等应该是个人的。假的也要看起来像。

2)  StartSSL填写的都是英文信息,不要使用中文填写。

3)  收到邮件后,写入验证码,下一步,要注意时间限制,StartSSL用6个小时来完成申请审核。然后发送审核邮件到你的邮箱。此时,给你的申请客户端证书验证码只有24小时的时间有效性。也就是要在24小时内完成客户端申请。


2、域名认证申请。

1)进入Control Panel(可能需要点击Authenticate并使用上一步生成的证书才能看到图示的页面),选择Validations Wizard,类型选择Domain Name Validation。

2)输入域名。

3)选择一个有效的邮箱接收验证码,可以使用域名WHOIS中的邮箱或默认网站管理者邮箱(没有带域名的邮箱可选择使用网易免费企业邮等服务)。

4)收到邮件后,输入邮件中的验证码。

5)域名所有者验证成功。

 

在申请时需要注意的几个问题:

1)  域名是主域名。

2)  邮箱必须可用,并且应该随时接收。


3、SSL证书申请

1.选择Certificates Wizard进入SSL证书生成向导,证书目标选择Web Server SSL/TLS Certificate

2.输入10-32位密码生成秘钥。必须记住密码,不要忘记。

3.备份秘钥,将文本框内的内容保存成一个文本文件,如ssl.key。使用ansi方式保存。

4.选择上一步验证了的域名。

5.添加子域名。

6.确认域名子域名信息,准备生成证书。

7.备份生成的证书,将文本框内容保存成一个文本文件,如ssl.crt。使用ansi方式保存。在下面intermediate链接中下载中间证书sub.class1.server.ca.pem。 root证书ca.pem也要下载。

 

申请完成,下面是安装步骤。

 

第四步为apache的安装,必须解密私钥。

 

 


5、tomcat下的安装。

将StartSSL生成的证书应用到tomcat下很复杂,参考这篇文章(https://adaptivekanban.com/blog/2012/07/how-to-use-startssl-certificates-with-apache-tomcat/),或者我下面的说明都可以。

 


1)解密秘钥

 

在使用证书证书之前还需要对生成的秘钥解密,可使用命令openssl rsa -in ssl.key -out ssl_decrypted.key,或者是StartSSL提供的工具: Tool Box - Decrypt Private Key,生成的内容另存为文件,如ssl_decrypted.key。

 


2)创建pkcs12文件。

使用StartSSL的ToolBox --Create PKCS#12 (PFX) File .

其中Private Key:为解密的密钥文件。获取的文件名存为out.p12 .

 

 


3)利用pkcs文件生成keystore文件

利用java利用的keytool工具,在java安装目录中的bin目录下。

 

keytool.exe -importkeystore -deststorepass  changeit -destkeystore mykeystore.jks -srckeystore out.p12 -srcstoretype PKCS12 -srcstorepass changeit

 


4)导入StartSSL的ca证书以及1级中级服务器CA

StartSSL的ca证书在第三步的第7小步中已经下载。或者到StartSSL的ToolBox-- StartCom CA Certificates-- StarCom Root CA (PEM Encoded) 下载这个证书。

1级中级服务器在第三步的第7小步中已经下载。或者到StartSSL的ToolBox-- StartCom CA Certificates-- Class 1 Intermediate Server CA 下载这个证书

 

keytool.exe -import -alias startsslca -file ca.pem -keystore mykeystore.jks ;

keytool.exe -import -alias startsslca2 -file sub.class1.server.ca.pem -keystore mykeystore.jks ;

 


5)配置Tomcat

修改Tomcat目录下confg目录中的server.xml文件。放开一下内容

 

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS"

               keystoreFile="D:\\apache-tomcat-7.0.16-account\\mykeystore.jks" keystorePass="changeit "/>

 

 

这样启动是一般会报apr错误。

一般的处理方法是修改server.xml文件,屏蔽掉

 

<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->    

 

想要更多解决方法的可以参考这篇文章(http://lixor.iteye.com/blog/1532655

 

正常就可以启动ssl了。

 


6、Apache下的安装

参考这篇文章(http://blog.mowd.tw/index.php?pl=950

 

如果使用的是加密的ssl.key 则每次启动apache时都要输入密码。(未测试)

 

在httpd.conf 中增加一下内容:注意ssl.key 是解密的。

 SSLCertificateFile /etc/pki/tls/certs/ssl.crt
SSLCertificateKeyFile /etc/pki/tls/private/ssl.key
SSLCertificateChainFile /etc/pki/tls/sub.class1.server.ca.pem
SSLCACertificateFile /etc/pki/tls/ca.pem




转载自:http://fengfan.blog.163.com/blog/static/13478622013713114942896/


上一篇:Mozilla 宣布 Firefox 49 将修改根证书处理过程


下一篇:kube-proxy