Tomcat使用Https协议的证书申请说明书

Tomcat使用Https协议的证书申请说明书

　　https协议是http协议的加密版本，即https=http+ssl。

一、相关概念

SSL证书

　　SSL证书，就是一种安装在服务器上的数字证书。安装了SSL证书的网站，可以使用HTTPS访问，在用户浏览器和网站服务器之间建立一条“SSL加密通道”，在网上交易、网上支付时，让您的交易信息、身份信息、账号密码等机密信息加密传输，防止信息泄露。

　　同时，SSL证书是由权威CA机构认证网站身份后才能颁发，在证书中显示网站所属单位或个人的真实信息，并通过绿色地址栏、安全锁、https等醒目标识，告知用户该网站身份安全可信，防止钓鱼欺诈。

　　安装SSL证书后，使用Https协议加密访问网站，可激活客户端浏览器到网站服务器之间的”SSL加密通道”(SSL协议)，实现高强度双向加密传输，防止传输数据被泄露或篡改。所以，https协议需要到CA申请证书。

CA认证

　　电子商务认证授权机构（CA, Certificate Authority），也称为电子商务认证中心，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。

　　CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。

证书实际是由证书签证机关（CA）签发的对用户的公钥的认证。

　　PS：如果不向CA机构申请证书，使用自己生成的证书，同时强制修改tomcat使用https协议，会导致浏览器无法访问网站。

二、如何申请证书

选择权威证书颁发机构

　　由于SSL证书比较特殊，并不是所有CA机构签发的SSL证书都能受浏览器信任，这就是为什么有的网站会出现“该证书不受信任”的浏览器报错。一定要选择全球信任的SSL证书颁发机构，只有通过国际WebTrust认证的CA机构，其根证书预置到微软的操作系统和浏览器中，颁发的SSL证书才能受浏览器信任。

申请证书

　　每个CA机构的申请SSL证书过程可能会有不同，大体上都是一样的。首先需要生成证书请求文件，然后把它发送给CA机构认证，最后再将证书导入、安装在服务器上。

CSR文件

　　CSR是Cerificate Signing Request的英文缩写，即证书请求文件，也就是证书申请者在申请数字证书时由CSP（加密服务提供者）在生成私钥的同时也生成证书请求文件，证书申请者只要把CSR文件提交给证书颁发机构后，证书颁发机构使用其根证书私钥签名就生成了证书公钥文件，也就是颁发给用户的证书。

三、申请证书步骤

　　一切以选择的CA机构提供的方案为准。以下只是以我在本地搭建https协议的过程为参考而写的步骤。

准备环境：

　　1、安装JDK、Tomcat。

　　2、配置Java环境。

　　使用JDK的keytool工具生成密钥库文件。配置Java环境后可以直接打开控制台，使用keytool命令，如下：

1、生成私钥

　　在命令行使用以下命令生成证书：

keytool -genkey -alias dataocean -keyalg RSA -keystore D:\dataocean.jks

　　说明：

　　　　-alias dataocean 别名是dataocean

　　　　-keyalg RSA 加密算法是RSA

　　　　-keystore D:\dataocean.jks 生成的keystore位置和名称



　　注意：

　　　　a、请务必根据提示录入全部项目，并保证其准确性。“您的名字与姓氏是什么？”这是必填项，并且必须是TOMCAT部署主机的域名或者IP[如：baidu.com 或者 10.1.25.251]

　　　　b、若输出路径含有空格，需使用英文状态下的双引号括起来

　　　　c、keystore密码至少6个字符,若电脑安装了JDK 6或以上版本，密码输入时不会显示；若安装了JDK 5版本，密码输入时将可能出现明文显示，请务必注意并牢记此密码，尤其含有大小写字母的情况

　　　　d、下文涉及到keytool工具输入的密码均为此密码

　　　　e、提示输入主密码时直接按回车即可，保证keystore密码与dataocean主密码一致

2、生成CSR文件

　　在命令行使用以下命令生成CSR文件：

keytool -certreq -alias dataocean -sigalg SHA256withRSA -file D:\certreq.csr -keystore D:\dataocean.jks



　　使用以上命令后会生成D:\certreq.csr文件

3、备份私钥文

　　备份私钥文件并记下私钥密码。

4、把CSR发给CA机构

　　将证书请求文件certreq.csr提交给CA机构，等待证书签发。如密钥库文件dataocean.jks丢失，会导致证书不可用。

5、服务器中导入、安装证书

　　这一步还没有操作过，可参考百度经验《SSL证书 TOMCAT部署》：

https://jingyan.baidu.com/article/49ad8bce4d864c5834d8fab3.html