- 掛牌上市企業
- 60秒人工響應
- 99.99%連通率
- 7*24h人工
- 故障100倍補償
詳解Nginx + Tomcat HTTPS/SSL 配置 |
| 發布時間: 2012/5/18 15:36:46 |
|
1. 申請 SSL 證書
你可以從很多網站購買到SSL證書,我經常使用的是 GeoTrust 。證書都是收費的(據說有免費的,沒試過),價格有貴的有便宜的。它們的區別是發行證書的機構不同,貴的證書機構更權威,證書被瀏覽器否決的幾率更小。正規運營的網站建議購買好一點的證書,免了麻煩,也貴不了多少。 1.1 生成 CSR 文件 申請證書的時候,證書的發行機構會要求你提供一個CSR(Certificate Signing Request)文件,這個文件包含了發行機構需要的所有信息。在生成CSR之前,我們必須先創建密鑰對: $JAVA_HOME/bin/keytool -genkey -alias <your_alias_name> -keyalg RSA -keystore <your_keystore_filename> -keysize 2048 這里我們使用的是RSA非對稱算法,2048位的密鑰(好的證書機構強制2048位)。可以是網站名,比如“oschina”,同理可以是oschina.keystore。 這個命令會讓你輸入私鑰所有者的信息,也就是你的網站的信息,這里只有一個字段是關鍵的“Common Name(CN)”,這個字段應該是你的網站域名,例如“www.oschina.net”,別的字段例如國家地區什么的你看著填就行了。使用keytool工具的話,它提示輸入“first and last name”就是讓你輸入“Common Name”。在你填完信息以后,它會讓你設置keystore和密鑰的訪問密碼,你輸入就行了,建議使用相同的密碼。如果不輸入的話,默認密碼是“changeit”。 下面來生成CSR文件: $JAVA_HOME/bin/keytool -certreq -keyalg RSA -alias <your_alias_name> -file certreq.csr -keystore <your_keystore_filename> 這里 和上面一步是一致的,我這里輸入 oschina ,輸入 oschina.keystore。這一步會問你要keystore密碼,就是你上一步設置的密碼。生成的“certreq.csr”是一個文本文件,你打開應該看到類似如下內容: -----BEGIN NEW CERTIFICATE REQUEST----- MIICvzCCAacCAQAwejELMAkGA1UEBhMCQ04xEjAQBgNVBAgTCUd1YW5nZG9uZzERMA8GA1UEBxMI U2hlbnpoZW4xFDASBgNVBAoTC09TQ2hpbmEuTkVUMRQwEgYDVQQLEwtPU0NoaW5hLk5FVDEYMBYG A1UEAxMPd3d3Lm9zY2hpbmEubmV0MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAnyZ3 8SXC6FmggtMtGBMCW/L88qd2DXjeryQExyUfy30VU4ROYcPnLNZXtwtE+poOf7AdqrQvrYBNJsls xAmlKEKN7t1ATq3vYSaygx74Ixh4lsYQhJA03sZlcIe8N1EoSYwvch37ksQfhXC/zcZ9ltT9Pk67 dZTVoNPwI92bxH1VpCwnpNpygT1v8YSCQM6mIrBkWeNuWolhYQmKSRgOM9gV8hd06zBd6mNBGdxB ktZ6KlZQp8i+A4hevcRuo9ebNLIhfERDghgos+zbaq1d2whgWegdv/mLnudLHjyyqcEBwk87rp7n zFh2C220JmDMXAMGsz0QeA60wpRC6492UwIDAQABoAAwDQYJKoZIhvcNAQEFBQADggEBAGfLBzJt +CFJ0v4LzttWHNMEpj5rvtoEBr2QYtB0op2y27mp0qwqCfCj0wv3Rw8xZzh6oPKx0NB2tnWqcqyN XmVW4nl3SLd9bdY3I7/wdQkriCd6sBgn6Voh8mJOGKKtNZADQ3AfqUD1ge39bL+v7H0EdwtOfmCr tAn35+qIIXH3SWS2R+G5sqa76GgjSRwkN8awzrbZJbA/hRPi5wwL+RV3/NFWfFmr4hpsuWHos7ly 5iFJpQqWVodpq9mxaaugzKvv0HG+A8ip0DG+vB8SnUgBMnAMM8UP1P2ozgNG0Twncq+uIAyz0Uw9 IzQHiWhtGpFAN9RO0xPl4EnYW6A+TM4= -----END NEW CERTIFICATE REQUEST----- 你把CSR的內容提供給證書發行機構就行了。 1.2 提交認證請求 在你提交證書簽名請求以后,證書發行機構會讓你提供一個管理員郵箱來驗證你的請求。例如我是給 oschina.net 請求簽名,它就要我提供 admin@oschina.net 或者 webmaster@oschina.net 來驗證這個請求的確是擁有 oschina.net 域名的人發起的。收到證書發行機構的驗證郵件后,你去確認,然后付款就會收到簽名后的證書(實時的,不需要等待): -----BEGIN CERTIFICATE----- MIIFBDCCA+ygAwIBAgIDA7WjMA0GCSqGSIb3DQEBBQUAMGExCzAJBgNVBAYTAlVT MRYwFAYDVQQKEw1HZW9UcnVzdCBJbmMuMR0wGwYDVQQLExREb21haW4gVmFsaWRh dGVkIFNTTDEbMBkGA1UEAxMSR2VvVHJ1c3QgRFYgU1NMIENBMB4XDTEyMDIyNjA0 NTQyMVoXDTE0MDIyNzExMDQwMFowge0xKTAnBgNVBAUTIGxEMEdjSW1OSlhyQTZY YXUtU055R1prTUtXdUdQVDFkMQswCQYDVQQGEwJDTjEYMBYGA1UEChMPd3d3Lm9z Y2hpbmEubmV0MRMwEQYDVQQLEwpHVDg3NjQ4MDE5MTEwLwYDVQQLEyhTZWUgd3d3 Lmdlb3RydXN0LmNvbS9yZXNvdXJjZXMvY3BzIChjKTEyMTcwNQYDVQQLEy5Eb21h aW4gQ29udHJvbCBWYWxpZGF0ZWQgLSBRdWlja1NTTChSKSBQcmVtaXVtMRgwFgYD VQQDEw93d3cub3NjaGluYS5uZXQwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK AoIBAQCfJnfxJcLoWaCC0y0YEwJb8vzyp3YNeN6vJATHJR/LfRVThE5hw+cs1le3 C0T6mg5/sB2qtC+tgE0myWzECaUoQo3u3UBOre9hJrKDHvgjGHiWxhCEkDTexmVw h7w3UShJjC9yHfuSxB+FcL/Nxn2W1P0+Trt1lNWg0/Aj3ZvEfVWkLCek2nKBPW/x hIJAzqYisGRZ425aiWFhCYpJGA4z2BXyF3TrMF3qY0EZ3EGS1noqVlCnyL4DiF69 xG6j15s0siF8REOCGCiz7NtqrV3bCGBZ6B2/+Yue50sePLKpwQHCTzuunufMWHYL bbQmYMxcAwazPRB4DrTClELrj3ZTAgMBAAGjggE2MIIBMjAfBgNVHSMEGDAWgBSM 9NmTCke8AKBKzkt1bqC2sLJ+/DAOBgNVHQ8BAf8EBAMCBaAwHQYDVR0lBBYwFAYI KwYBBQUHAwEGCCsGAQUFBwMCMCcGA1UdEQQgMB6CD3d3dy5vc2NoaW5hLm5ldIIL b3NjaGluYS5uZXQwQQYDVR0fBDowODA2oDSgMoYwaHR0cDovL2d0c3NsZHYtY3Js Lmdlb3RydXN0LmNvbS9jcmxzL2d0c3NsZHYuY3JsMB0GA1UdDgQWBBSMnwGchSF9 4rpwjGM0R5TdD/OU3zAMBgNVHRMBAf8EAjAAMEcGCCsGAQUFBwEBBDswOTA3Bggr BgEFBQcwAoYraHR0cDovL2d0c3NsZHYtYWlhLmdlb3RydXN0LmNvbS9ndHNzbGR2 LmNydDANBgkqhkiG9w0BAQUFAAOCAQEAYtzSVIU/O43qyL4mBFv8DSwoLfi5kHIz 35sBVHM1Z3LW8tnIyscPewYZdy6pszBsm4AtJ0C+fdCM6Ai4GnMdIacao18OIcXS n2ZiYVrZAs/GCzHRpCpu3VfFTogBiuTS+/Sm87KD8o1kHCxGxNDftfPorq4K5B+0 sIWhxU2gErog1vkGqzuO5CiupMIIp6swqGR0rUnh7XH+WkfjamnU9I8Yqz//QENT cIaUI/2E2btqCvK4vgtsvhzYHLhmcGljiu0PEeCtIBa4CZSiiMk6E9P7tb/+l3o4 CS9dHYutNG1LqN3FNx34EYBYykGOz2N79L3BIUwIXa7v7QoO+T+c6w== -----END CERTIFICATE----- 這就是你的網站,經過權威機構簽名的證書。當用戶通過HTTPS訪問你的網站的時候,瀏覽器會驗證這個證書。 1.3 下載證書 證書分很多種格式,例如X.509(.crt文件)、PKCS #7(.p7s文件)等等。不同的網站服務器可能要求不同格式的證書。很多時候,給我們的證書簽名的是二級證書機構,它上面還有根證書機構。所以你在購買簽名過的證書以后,它還會給你一個它自己的證書叫做“Intermediate CA(中間證書)”,格式和你自己的證書是一樣的。在部署證書的時候你需要同時部署你自己的證書還有中間證書,這就叫做Certificate Chain。好的證書發行機構會提供多種證書供你選擇下載,建議下載同時下載X.509還有 PKCS #7兩種格式。不要忘記下載 X.509格式的中間證書。PKCS #7格式的不要是因為這個格式自帶了各種中間證書。 2. 部署證書到Tomcat Tomcat要求的是包含簽名過證書的keystore文件和keystore密碼。所以我們要先把證書導入keystore 2.1 導入證書到KeyStore $JAVA_HOME/bin/keytool -import -alias oschina -trustcacerts -file oschina.p7s -keystore oschina.keystore 上面的命令中 alias “oschina” 和之前申請證書的時候輸入的 alias 要一致。 2.2 修改Tomcat配置 <Connector SSLEnabled="true" acceptCount="100" clientAuth="false" disableUploadTimeout="true" enableLookups="false" maxThreads="25" port="8443" keystoreFile="/oschina/webapp/oschina.keystore" keystorePass="xxxxxxx" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS" /> 3. 部署證書到Nginx Nginx和Tomcat不一樣,它要求的是證書文件 .crt 和私鑰 .key 。遺憾的是,我們的私鑰在keystore里面,而JDK自帶的keytool并不提供私鑰的導出功能,所以我們得借助第三方工具來導出私鑰。 3.1 導出私鑰(key) 有一個開源的私鑰導出工具叫做 java-exportpriv 。它是一個簡單的java程序,你下載以后參考它的說明,編譯,然后運行即可,非常簡單,我就不多羅嗦了。 3.2 創建certificate chain 和Apache不一樣,Nginx沒有Certificat Chain這個參數,所以你要把你的證書和中間證書合并。合并證書很簡單,創建一個先的文件 oschina-chain.crt,內容如下: -----BEGIN CERTIFICATE----- 這里是你證書的內容 -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- 這里是中間證書的內容 -----END CERTIFICATE----- 3.3 修改Nginx配置文件 server { listen 443 ssl; server_name localhost; ssl on; ssl_certificate /oschina/webapp/oschina-chain.crt; ssl_certificate_key /oschina/webapp/oschina.key; location / { include proxy.conf; proxy_pass https://61.145.122.155:443; } } 4. 驗證證書是否安裝正確 首先當然是自己用HTTPS的方式訪問自己的網站,看看瀏覽器是否報錯或者報警,記得要把各種瀏覽器都試一遍。然后用 在線工具來測試你的網站HTTPS的配置是否正確,如果都測試通過,那么就大功搞成啦! 本文出自:億恩科技【www.ibaoshan.net】 |
0371-60135900
京公網安備41019702002023號
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
