证书的申请及Nginx和tomcat所需的文件
近期部署公司主页,要配置成https访问,研究了下Nginx和tomcat配置https 所需的文件及步骤,在这里介绍从godaddy申请证书及配置的一系列操作
1.证书申请
Godaddy是一家提供域名注册和互联网主机服务的美国公司,详见:Godaddy
在申请之前,我们需要利用下面的命令生成两个文件(domain.com.key和domain.com.csr):
openssl req -new -newkey rsa:2048 -nodes -keyout domain.com.key -out domain.com.csr
注:domain.com为你申请的域名,如:www.baidu.com,这样你得到的两个文件就为:www.baidu.com.key和www.baidu.com.csr
其中key文件为私钥文件(保存好)
然后,把csr文件的内容复制粘贴到godaddy中,点击申请。
申请成功后,可下载得到一个zip压缩包,选择其他类型。zip压缩包解压后得到两个crt文件。
2.Nginx和tomcat配置https所需文件
在
Nginx中,配置https需要上述zip文件解压得到的两个crt文件及openssl命令生成的key文件。
zip解压得到的文件类似下面的文件:
用cat命令将两个crt文件合成为一个:cat 98ddf9a2e94de0c6.crt gd_bundle-g2-g1.crt > server.crt
在Nginx中配置时只需要合成的crt文件
server.crt及申请之前根据openssl命令生成的私钥文件domain.key在
tomcat中,则需要的是keystore文件,该文件可由crt和key文件生成。
要是用的crt文件不是合成的crt文件,而是zip压缩包解压出来的两个crt文件,如上述图中所示的:
key文件重命名为server.key:mv domain.com.key server.key
运行下面两条命令可生成keystore文件:扫描二维码关注公众号,回复: 4659949 查看本文章
openssl pkcs12 -export -in 98ddf9a2e94de0c6.crt -inkey server.key -out mycert.p12 -name tomcat -CAfile gd_bundle-g2-g1.crt -caname root -chain
然后输入密码,如图所示:
该密码记住,在tomcat配置https时要输入然后输入命令:
keytool -importkeystore -v -srckeystore mycert.p12 -srcstoretype pkcs12 -destkeystore tomcat.keystore -deststoretype jks
再输入密码,之后的结果如下:
然后就生成了
tomcat配置https所需的tomcat.keystore文件
Nginx中https的配置可见:Nginx安装及配置https
tomcat中https的配置可见:tomcat配置https