在您完成申请数安时代GDCA服务器证书的流程后,登录系统将会下载一个压缩文件,使用Apache_IIS_Tomcat_Server里面的文件;
请找到之前提交csr时生成的.key私钥文件,该文件为证书的私钥,后面配置要用到;
Resin目前最新的版本还是4.0 (4.0.49),使用Java EE6,在Resin上部署证书,一般有两种方式,首先我们推荐采用Openssl方式,不仅因为Openssl模式下的速度更快,而且Openssl对TLS的支持更好,安全性高;另外一种JSSE方式,不仅速度慢,而且JSSE6仅支持TLS1.0
打开Resin.xml,增加下面配置:
<resin xmlns=""> <cluster id="http-tier"> <server id="a" address="192.168.1.12"> <http port="443"> <openssl> <certificate-file>keys/server.crt</certificate-file> <certificate-key-file>keys/server.key</certificate-key-file> <password>my-password</password> <certificate-chain-file>keys/chain.crt</certificate-chain-file> <cipher-suite>ALL:!ADH:+HIGH:+MEDIUM:!NULL:!DH:!RC4:!DES" </cipher-suite> <protocol>tlsv1 tls1.1 tls1.2</protocol> </openssl> </http> </server> ... </resin>
说明:
<certificate-file>:服务器证书文件。
<certificate-key-file>:服务器证书的私钥文件。
<password>:服务器证书私钥文件的密码,如果原私钥文件没有密码,可以运行如下openssl命令:
openssl rsa -in server.key -des -out serverpass.key -passout pass:123456
<certificate-chain-file>:中间证书文件。
<cipher-suite>:加密套件设定。
<protocol>:协议说明,一般只打开TLS 1 , TLS 1.1, TLS 1.2协议。
打开resin.xml,增加以下参数:
<resin xmlns=""> <cluster id=""> <server-default> <http port="443"> <jsse-ssl> <key-store-type>jks</key-store-type> <key-store-file>keys/server.keystore</key-store-file> <password>changeit</password> <protocol>-sslv3</protocol> </jsse-ssl> </http> </server-default> ... </cluster> </resin>
说明:
<key-store-type>:设定Keystore文件的类型,这里一般都设为jks。
<key-store-file>:JKS文件名。
<password>:JKS文件的密码。
<protocol>:支持的协议。测试SSL证书
默认的SSL访问端口号为443,如果使用其他端口号,则您需要使用https://yourdomain的方式来访问您的站点,防火墙要开放相应的port。
备份服务器证书私钥文件tkey,服务器证书文件crt,即可完成服务器证书的备份操作。
参照步骤“二、安装服务器证书”即可完成恢复操作