一、部署前特别说明
1. 本文档主要描述如何通过Keytool产生密钥对;
2. 本指南在windows下适用Keytool工具方式生成证书请求文件;
3. 您可以使用其它方式并不要求按照本指南在windows下使用Keytool工具方式生成证书请求文件;
二、生成证书请求
1. 安装JDK(仅针对没有安装的用户)
安装过程比较简单,采取默认方式安装即可,如有需要可以修改安装的目录。
2.?生成keystore文件
生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK或JRE下的bin目录,运行keytool命令(示例中粗体部分为可自定义部分,可根据实际配置情况相应修改)。
keytool -genkey -alias GDCA?-keyalg RSA -keysize 2048 -keystore?D:\gdca.jks
(JDK 6及以上版本,密码输入时不会回显)
(JDK 5版本,密码明文显示)
以上命令中,gdca为私钥别名(-alias),生成的gdca.jks文件默认放在D盘根目录下。
注意:
1. 请务必根据提示录入全部项目,并保证其准确性
2. 若输出路径含有空格,需使用英文状态下的双引号括起来
3. keystore密码至少6个字符,若电脑安装了JDK 6或以上版本,密码输入时不会显示;若安装了JDK 5版本,密码输入时将可能出现明文显示,请务必注意并牢记此密码,尤其含有大小写字母的情况
4. 下文涉及到keytool工具输入的密码均为此密码
5. 如组织名称含有逗号,录入时不用输入引号,一般系统会在下面提示信息中的组织名称自动添加引号,请务必查看;如发现没有引号,请关闭命令行窗口,然后打开一个新窗口重新操作;
6. 提示输入主密码时直接按回车即可,保证keystore密码与gdca主密码一致
3.?生成证书请求文件(CSR)
keytool -certreq -alias gdca -sigalg SHA256withRSA -file D:\certreq.csr?-keystore?D:\gdca.jks
请备份密钥库文件gdca.jks,将证书请求文件certreq.csr提交给GDCA,等待证书签发。如密钥库文件gdca.jks丢失,会导致证书不可用。
三、导入服务器证书
1.?获取服务器证书
在您完成申请SSL服务器证书的流程后,GDCA将会在返回给您的邮件中附上服务器证书,请留意查看申请证书时填写的邮箱。
2.?获取根证书和CA证书
获取根证书和CA证书可参考以下两种方法之一,建议优先从邮件中获取。
1)?从邮件中获取:
在您完成申请GDCA服务器证书的流程后,GDCA将会在返回给您的邮件中附上根证书GDCA_TrustAUTH_R5_ROOT.cer和相应的CA证书,请留意查看申请证书时填写的邮箱。如果您申请的是睿信(OV) SSL证书(Organization Validation SSL Certificate),CA证书文件就是GDCA_TrustAUTH_R4_OV_SSL_CA.cer;如果您申请的是恒信企业EV SSL证书(Extended Validation SSL Certificate),CA证书就是文件就是GDCA_TrustAUTH_R4_EV_SSL_CA.cer,请确认所收到的证书文件是您需要的CA证书。(注意:所发至邮箱的文件是压缩文件,里面有3张证书,请确认所收到的证书文件是您需要的CA证书文件)
四、证书遗失处理
若您的证书文件损坏或者丢失且没有证书的备份文件,请联系GDCA(客服热线 95105813)办理遗失补办业务,重新签发服务器证书。