Resin下SSL证书的安装 |
Openssl模式
|
1、请先下载中间链证书,请按产品类型选择对应的证书下载,保存为ca.cer
|
2、Resin4.0中采用resin.xml来配置SSL参数,如下:
|
<:resin xmlns="http://caucho.com/ns/resin">
<cluster id="http-tier">
<server id="a" address="192.168.1.12">
<http port="443">
<openssl>
<certificate-file>server.cer</certificate-file>
<certificate-key-file>server.key</certificate-key-file>
<certificate-chain-file>ca.cer</certificate-chain-file>
<password>my-password</password>
</openssl>
</http>
</server>
...
</resin>
|
2、Resin3是在Resin.conf文件中配置SSL参数,如下: |
<http port="443">
<openssl>
<certificate-file>server.cer </certificate-file>
<certificate-key-file>server.key </certificate-key-file>
<certificate-chain-file>ca.cer</certificate-chain-file>
<password>my-password </password>
</openssl>
</http>
|
3、Resin2是在Resin.conf文件中配置SSL参数,如下: |
<http port='443'>
<ssl/>
<certificate-file>server.cer</certificate-file>
<certificate-key-filev>server.key</certificate-key-file>
<certificate-chain-file>ca.cer</certificate-chain-file>
<key-store-password>password</key-store-password>
</http>
|
JSEE模式 |
如果您是用在线Openssl工具制作CSR |
请打开在线JKS合成工具,将制作CSR时候的server.key文件和刚刚收到的server.cer输入2个文本框,然后合成一个ssl.jks文件。
|
如果是用keytool做的CSR文件,则需要用keytool将证书导入原来的jks文件。
|
1、请使用P7B在线转换工具将server.cer转换为P7B文件,server.p7b文件。如果不执行该转换,会造成中间证书缺失,会对某些浏览器造成不兼容。
|
2、确保服务器上有 Keytool工具,另外将server.p7b,和原来生成CSR的JKS(Java Keystore文件)在一个目录下,运行命令:
|
keytool -import -keystore server.jks -alias tomcat -file server.p7b
|
3、Resin4.0中采用resin.xml来配置SSL参数,如下:
|
<http port="443">
<jsse-ssl>
<key-store-type>jks</key-store-type>
<key-store-file>server.jks</key-store-file>
<password>changeit</password>
</jsse-ssl>
</http>
|
4、Resin3是在Resin.conf文件中配置SSL参数,如下: |
<http port="443">
<jsse-ssl>
<key-store-type>jks</key-store-type>
<key-store-file>server.jks</key-store-file>
<password>changeit</password>
</jsse-ssl>
</http>
|
5、Resin2是在Resin.conf文件中配置SSL参数,如下: |
<http port='443'>
<ssl/>
<certificate-file>server.cer</certificate-file>
<certificate-key-file>server.key</certificate-key-file>
<key-store-password>password</key-store-password>
</http>
|
客户端证书认证 |
Openssl模式下,只需要加入客户证书根证书文件指认就可以了,增加配置如下:
|
<ca-certificate-file>clientroot.cer</ca-certificate-file>
<verify-client>required</verify-client>
|
JSSE模式下,Resin需要修改配置文件如下:
|
<verify-client>required</verify-client>
|
在配置中文件,我们是无法指定客户证书根证书信息的,那么Resin是如何来信任客户证书的呢?Resin其实是信任JRE缺省的JKS文件中的信任根证书,这个文件是jre/lib/security/cacerts,缺省的密码是changeit,找到这个文件,并将客户证书的根证书保存在clientroot.cer中,输入如下命令:
|
keytool -import -trustcacerts -keystore cacerts -alias root -file clientroot.cer
|