1、客户端认证申请
StartSSL用户认证使用的是Https客户端证书认证而非用户名/密码认证。因此第一步是申请StartSSL客户端证书。
(整个申请过程可参考链接:http://jeeker.net/article/apply-ssl-certificat-for-domain-from-startssl/)
1) 填写申请单,首页-sign up free 。注意邮箱必须真实,电话,地址等看上去像私人的而非公司的,必须使用英文填写。
2) 到邮箱接收邮件,填写认证码。
3) 等待审核,一般6小时内会审核完毕。到邮箱接收邮件,收到邮件后要在24小时内申请客户端证书。
4) 申请客户端证书。申请成功后,注意备份证书,在IE 选项—内容—证书—个人—导出窗口中。
在申请时需要注意的几个问题:
1) StartSSL针对的是私人注册,而非组织认证,因此填写的地址信息,电话信息等应该是个人的。假的也要看起来像。
2) StartSSL填写的都是英文信息,不要使用中文填写。
3) 收到邮件后,写入验证码,下一步,要注意时间限制,StartSSL用6个小时来完成申请审核。然后发送审核邮件到你的邮箱。此时,给你的申请客户端证书验证码只有24小时的时间有效性。也就是要在24小时内完成客户端申请。
2、域名认证申请。
1)进入Control Panel(可能需要点击Authenticate并使用上一步生成的证书才能看到图示的页面),选择Validations Wizard,类型选择Domain Name Validation。
2)输入域名。
3)选择一个有效的邮箱接收验证码,可以使用域名WHOIS中的邮箱或默认网站管理者邮箱(没有带域名的邮箱可选择使用网易免费企业邮等服务)。
4)收到邮件后,输入邮件中的验证码。
5)域名所有者验证成功。
在申请时需要注意的几个问题:
1) 域名是主域名。
2) 邮箱必须可用,并且应该随时接收。
3、SSL证书申请
1.选择Certificates Wizard进入SSL证书生成向导,证书目标选择Web Server SSL/TLS Certificate
2.输入10-32位密码生成秘钥。必须记住密码,不要忘记。
3.备份秘钥,将文本框内的内容保存成一个文本文件,如ssl.key。使用ansi方式保存。
4.选择上一步验证了的域名。
5.添加子域名。
6.确认域名子域名信息,准备生成证书。
7.备份生成的证书,将文本框内容保存成一个文本文件,如ssl.crt。使用ansi方式保存。在下面intermediate链接中下载中间证书sub.class1.server.ca.pem。 root证书ca.pem也要下载。
申请完成,下面是安装步骤。
第四步为apache的安装,必须解密私钥。
5、tomcat下的安装。
将StartSSL生成的证书应用到tomcat下很复杂,参考这篇文章(https://adaptivekanban.com/blog/2012/07/how-to-use-startssl-certificates-with-apache-tomcat/),或者我下面的说明都可以。
1)解密秘钥
在使用证书证书之前还需要对生成的秘钥解密,可使用命令openssl rsa -in ssl.key -out ssl_decrypted.key,或者是StartSSL提供的工具: Tool Box - Decrypt Private Key,生成的内容另存为文件,如ssl_decrypted.key。
2)创建pkcs12文件。
使用StartSSL的ToolBox --Create PKCS#12 (PFX) File .
其中Private Key:为解密的密钥文件。获取的文件名存为out.p12 .
3)利用pkcs文件生成keystore文件
利用java利用的keytool工具,在java安装目录中的bin目录下。
keytool.exe -importkeystore -deststorepass changeit -destkeystore mykeystore.jks -srckeystore out.p12 -srcstoretype PKCS12 -srcstorepass changeit
4)导入StartSSL的ca证书以及1级中级服务器CA
StartSSL的ca证书在第三步的第7小步中已经下载。或者到StartSSL的ToolBox-- StartCom CA Certificates-- StarCom Root CA (PEM Encoded) 下载这个证书。
1级中级服务器在第三步的第7小步中已经下载。或者到StartSSL的ToolBox-- StartCom CA Certificates-- Class 1 Intermediate Server CA 下载这个证书
keytool.exe -import -alias startsslca -file ca.pem -keystore mykeystore.jks ;
keytool.exe -import -alias startsslca2 -file sub.class1.server.ca.pem -keystore mykeystore.jks ;
5)配置Tomcat
修改Tomcat目录下confg目录中的server.xml文件。放开一下内容
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="D:\\apache-tomcat-7.0.16-account\\mykeystore.jks" keystorePass="changeit "/>
这样启动是一般会报apr错误。
一般的处理方法是修改server.xml文件,屏蔽掉
<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->
想要更多解决方法的可以参考这篇文章(http://lixor.iteye.com/blog/1532655)
正常就可以启动ssl了。
6、Apache下的安装
参考这篇文章(http://blog.mowd.tw/index.php?pl=950)
如果使用的是加密的ssl.key 则每次启动apache时都要输入密码。(未测试)
在httpd.conf 中增加一下内容:注意ssl.key 是解密的。
SSLCertificateFile /etc/pki/tls/certs/ssl.crt
SSLCertificateKeyFile /etc/pki/tls/private/ssl.key
SSLCertificateChainFile /etc/pki/tls/sub.class1.server.ca.pem
SSLCACertificateFile /etc/pki/tls/ca.pem
转载自:http://fengfan.blog.163.com/blog/static/13478622013713114942896/