一、 获取SSL证书
1.获取证书文件
在您完成申请数安时代GDCA服务器证书的流程后,将获取一个证书包,解压使用Apache_IIS_Tomcat_Server目录下的两个证书文件,分别是公钥证书www.trustauth.cn.crt、中级证书issuer.crt。示例如下:
2.获取私钥证书文件
请找到之前提交csr时生成的.key私钥文件,该文件为证书的私钥,后面配置要用到;
二、 安装服务器证书
Resin目前最新的版本还是4.0 (4.0.49),使用Java EE6,在Resin上部署证书,一般有两种方式,首先我们推荐采用Openssl方式,不仅因为Openssl模式下的速度更快,而且Openssl对TLS的支持更好,安全性高;另外一种JSSE方式,不仅速度慢,而且JSSE6仅支持TLS1.0
1. Opessl模式安装ssl证书
打开Resin.xml,增加下面配置:
<resin xmlns="http://trustauth.cn/ns/resin"> <cluster id="http-tier"> <server id="a" address="192.168.1.12"> <http port="443"> <openssl> <certificate-file>keys/www.trustauth.cn.crt</certificate-file> <certificate-key-file>keys/www.trustauth.cn.key</certificate-key-file> <password>my-password</password> <certificate-chain-file>keys/issuer.crt</certificate-chain-file> <cipher-suite>ALL:!ADH:+HIGH:+MEDIUM:!NULL:!DH:!RC4:!DES" </cipher-suite> <protocol>tlsv1 tls1.1 tls1.2</protocol> </openssl> </http> </server> ... </resin>
说明:
<certificate-file>:服务器证书文件。
<certificate-key-file>:服务器证书的私钥文件。
<password>:服务器证书私钥文件的密码,如果原私钥文件没有密码,可以运行如下openssl命令:
openssl rsa -in www.trustauth.cn.key -des -out www.trustauth.cn_pass.key -passout pass:123456
<certificate-chain-file>:中间证书文件。
<cipher-suite>:加密套件设定。
<protocol>:协议说明,一般只打开TLS 1 , TLS 1.1, TLS 1.2协议。
2. JSSE模式配置服务器证书
打开resin.xml,增加以下参数:
<resin xmlns="http://trustauth.cn/ns/resin"> <cluster id=""> <server-default> <http port="443"> <jsse-ssl> <key-store-type>jks</key-store-type> <key-store-file>keys/www.trustauth.cn.keystore</key-store-file> <password>changeit</password> <protocol>-sslv3</protocol> </jsse-ssl> </http> </server-default> ... </cluster> </resin>
说明:
<key-store-type>:设定Keystore文件的类型,这里一般都设为jks
jks合成链接:https://www.trustauth.cn/SSLTool/tool/export_keystore.jsp
<key-store-file>:JKS文件名。
<password>:JKS文件的密码。
<protocol>:支持的协议。测试SSL证书
3. 测试安装结果
默认的SSL访问端口号为443,如果使用其他端口号,则您需要使用https://域名:port访问您的站点,防火墙要开放相应的port。
四、 服务器证书的备份
备份服务器证书私钥文件www.trustauth.cn.key,服务器证书文件www.trustauth.cn.crt,中级证书issuer.crt,即可完成服务器证书的备份操作。
五、 服务器证书的恢复
参照步骤“二、安装服务器证书”即可完成恢复操作