证书cnnic.cn

CNNIC服务器证书配置指南–Resin3中国互联网络信息中心1/17http://www.
cnnic.
cn/目录目录1一、关于keytool21.
keytool简介22.
keytool下载及安装.
2二、生成证书请求文件CSR.
31.
生成私钥.
32.
生成CSR证书请求文件5三、下载服务器证书71.
准备下载证书所需信息.
72.
下载证书.
73.
关于证书的格式转换10四、导入根证书和服务器证书.
131.
下载根证书及CNNIC中级根证书.
132.
开始导入证书131)将根证书root.
cer导入keystore文件132)将中级CA证书cnnic.
cer导入keystore文件.
133)将服务器证书WebCert.
cer导入keystore文件144)查看keystore中证书列表.
14五、修改配置文件161.
找到Resin的配置文件162.
准备密钥库文件163.
修改配置文件16CNNIC服务器证书配置指南–Resin3中国互联网络信息中心2/17http://www.
cnnic.
cn/一、关于keytool1.
keytool简介keytool是用于管理密钥和证书的工具,使用户和管理员能管理自己的公/私钥对以及相关的证书.
keytool将密钥和证书储存到一个keystore(JKS)类型的文件,该文件使用一个密码保护密钥.
2.
keytool下载及安装请登录Oracle的网站:http://www.
oracle.
com/technetwork/java/javase/downloads/下载java开发包(JDK).
JDK中默认安装有keytool.
安装完成后,请配置系统环境变量JAVA_HOME,指明JDK的安装位置.
CNNIC服务器证书配置指南–Resin3中国互联网络信息中心3/17http://www.
cnnic.
cn/二、生成证书请求文件CSR请确保JAVA_HOME\bin或者JRE_HOME\bin目录存在于PATH变量中或直接使用绝对路径调用keytool命令.
直接使用keytool创建证书请求文件需要以下两个步骤:1.
生成私钥命令格式:keytool-genkey-alias[alias_name]-keyalgRSA-keysize2048-keystore[keystore_name]注:[]中的内容为需要输入的参数alias_name:表示证书的别名,在keystore中,成对的公/私钥应具有相同的别名,在后续证书导入环节会用到,如忘记此别名,可用:keytool-list–keystore[keystore_name]命令查看keystore_name:表示证书密钥库的文件名,扩展名一般为keystore或jks以申请域名www.
cnnic.
cn的证书请求文件为例,运行情况如下图所示:CNNIC服务器证书配置指南–Resin3中国互联网络信息中心4/17http://www.
cnnic.
cn/图表一创建私钥系统提示输入keystore密码,如不输入密码直接回车则缺省密码为:changeit.
也可以指定一个新的密码,但一定保存好该密码.
系统提示输入"您的名字与姓氏",请输入您要申请域名证书的域名,而不是您的真实名称与姓氏,例如:如果需要为www.
cnnic.
cn申请域名证书就必须输入www.
cnnic.
cn而不能输入cnnic.
cn.
如果申请通配域名证书,则输入通配域名的形式,通配符为"*",如:*.
cnnic.
cn;如果申请多域名证书,则输入多域名中第一个域名即可.
关于组织单位名称、组织名称、所在城市、所在省份和国家缩写(中国填:CN,其他国家填其缩写),除国家缩写必须填CN外,其余信息均可以是英文或中文.
最后,系统要求输入主密码,可以直接回车,使主密码保持与keystore密码一致.
CNNIC服务器证书配置指南–Resin3中国互联网络信息中心5/17http://www.
cnnic.
cn/2.
生成CSR证书请求文件命令格式:keytool-certreq-alias[alias_name]-file[csr_name]-keystore[keystore_name]注:[]中的内容为需要输入的参数alias_name:表示证书的别名csr_name:表示证书请求文件的名称,扩展名一般为csrkeystore_name:表示证书的密钥库文件名,扩展名一般为keystore或jks使用上例生成的keystore文件,运行情况如下图所示:图表二生成csr文件系统要求输入第一步骤中填写的keystore密码.
生成的csr文件为文本文件,可以使用记事本等文本查看工具打开刚刚生成的证书请求文件,如下图所示:CNNIC服务器证书配置指南–Resin3中国互联网络信息中心6/17http://www.
cnnic.
cn/图表三查看csr文件CNNIC服务器证书配置指南–Resin3中国互联网络信息中心7/17http://www.
cnnic.
cn/三、下载服务器证书1.
准备下载证书所需信息参考号与授权码:参考号与授权码是下载证书的密码凭证.
当申请的证书通过审核时,用户将接收到由CNNIC发送的通过审批的电子邮件通知,该邮件中含有16位的参考号与授权码信息,其中参考号与授权码的前13位为明文显示,后3位为密文显示.
审核员会以邮件通知的方式发送后三位的明文显示.
2.
下载证书登录CNNIC官网,进入CNNIC服务器证书下载中心页面:http://www.
cnnic.
net.
cn/jczyfw/fwqzs/fwqzsxzzx/点击相应的链接进入到证书下载页面,如下图所示:CNNIC服务器证书配置指南–Resin3中国互联网络信息中心8/17http://www.
cnnic.
cn/图表四可信服务器证书下载页面根据网页上的提示输入"参考号"和"授权码",将证书请求文件中除去头尾"-----BEGINNEWCERTIFICATEREQUEST-----"和"-----ENDNEWCERTIFICATEREQUEST-----"的中间部分内容复制到CSR文本框中.
结果如下所示:CNNIC服务器证书配置指南–Resin3中国互联网络信息中心9/17http://www.
cnnic.
cn/图表五填入收到的参考号和授权码以及生成的CSR点击"下载",如果参考号、授权码和证书请求文件均无问题,则显示页面如下所示.
CNNIC服务器证书配置指南–Resin3中国互联网络信息中心10/17http://www.
cnnic.
cn/图表六生成证书请按页面提示将文本框中的内容拷贝下来,粘贴到一个文本文档中保存,为文件起一个方便记忆的名字,以.
cer为后缀.
您也可以直接点击保存,自动下载一个名为WebCert.
cer的文件,该文件即为申请的证书.
请妥善保存该文件,如果该证书丢失,就必须进行证书补发操作,此操作可能会有相应费用产生.
3.
关于证书的格式转换从CNNIC获得的证书格式为X.
509格式.
该将证书文件的扩展名改为cer或crt后,可在windows中双击打开查看证书的相关信息.
显示信息类似下图所示:CNNIC服务器证书配置指南–Resin3中国互联网络信息中心11/17http://www.
cnnic.
cn/图表七格式转换X509格式的证书利用windows提供的图形界面操作工具可以另存为以下两种编码格式:BASE64编码格式:该格式的证书可以用记事本打开DER编码格式:二进制格式在上图中,点击"详细信息"->"复制到文件"后,即可以根据提示点击CNNIC服务器证书配置指南–Resin3中国互联网络信息中心12/17http://www.
cnnic.
cn/"下一步"利用证书导出向导导出需要格式的证书,如下图所示:图表八证书导出向导CNNIC服务器证书配置指南–Resin3中国互联网络信息中心13/17http://www.
cnnic.
cn/四、导入根证书和服务器证书1.
下载根证书及CNNIC中级根证书根证书及CNNIC中级根证书下载地址:http://www.
cnnic.
net.
cn/jczyfw/fwqzs/fwqzsxzzx/根据购买产品类型,点击相应的链接下载根证书以及中级根证书,将CNNIC中级根证书文件名保存为"cnnic.
cer",将根证书文件名保存为"root.
cer".
2.
开始导入证书1)将根证书root.
cer导入keystore文件命令格式:keytool-import-trustcacerts-aliasroot-fileroot.
cer-keystore[keystore_name]注:[]中的内容为需要输入的参数keystore_name:表示证书密钥库的文件名,扩展名一般为keystore或jks2)将中级CA证书cnnic.
cer导入keystore文件命令格式:keytool-import-trustcacerts-aliascnnic-filecnnic.
cer-keystore[keystore_name]注:[]中的内容为需要输入的参数keystore_name:表示证书密钥库的文件名,扩展名一般为keystore或jksCNNIC服务器证书配置指南–Resin3中国互联网络信息中心14/17http://www.
cnnic.
cn/3)将服务器证书WebCert.
cer导入keystore文件命令格式:keytool–import–trustcacerts-alias[alias_name]–file[server_cert]–keystore[keystore_name]注:[]中的内容为需要输入的参数server_cert:表示服务器证书文件名,下载服务器证书时默认命名为WebCert.
ceralias_name:表示服务器证书的别名,需要注意的是,这里的别名要与生成密钥库环节私钥的别名相同,否则无法完成公/私钥配对keystore_name:表示证书密钥库的文件名,扩展名一般为keystore或jks4)查看keystore中证书列表命令格式:keytool–list–keystore[keystore_name]注:[]中的内容为需要输入的参数keystore_name:表示证书密钥库的文件名,扩展名一般为keystore或jks如果根证书、中级CA证书以及服务器证书均成功导入keystore中,用命令查看keystore中的证书列表所显示信息应如下图所示,共含有三级证书链.
CNNIC服务器证书配置指南–Resin3中国互联网络信息中心15/17http://www.
cnnic.
cn/图表九查看keystore证书CNNIC服务器证书配置指南–Resin3中国互联网络信息中心16/17http://www.
cnnic.
cn/五、修改配置文件1.
找到Resin的配置文件首先确认您的Resin安装目录所在位置,打开该安装目录下的conf目录,并在conf目录下找到resin.
conf文件,这个文件就是Resin的配置文件,您可以文本方式打开该文件并进行编辑.
2.
准备密钥库文件将之前步骤生成并已导入各级证书的密钥库(keystore)文件准备好,建议复制到Resin安装目录下的conf文件夹内.
在确认了密钥库文件所在位置的存储路径后就可以开始修改配置文件了.
3.
修改配置文件打开resin.
conf文件找到如下段落即为配置您的服务器证书所相关的配置.
--keys/gryffindor.
crt-keys/gryffindor.
key-test123---->找到该段落后,请参考如下所示内容修改这段配置文件.
jksconf/[keystore_name]passwordCNNIC服务器证书配置指南–Resin3中国互联网络信息中心17/17http://www.
cnnic.
cn/需要注意的是:记得将这对符号删除,否则该段落配置将被屏蔽.
修改完毕保存退出后,您可以尝试启动Resin服务,测试是否可以正常通过https方式访问您的域名.
测试成功后请务必妥善备份您的密钥库(keystore)文件.