Trợ giúp

Chứng nhận SSL Trợ giúp

Tomcat: Tạo CSR và cài đặt chứng nhận

Khi bạn yêu cầu chứng nhận SSL, bạn phải cung cấp Yêu cầu xác thực chứng nhận (CSR) từ máy chủ của bạn. CSR bao gồm khóa công khai của bạn, và phải có các nội dung tương tự như mẫu yêu cầu trực tuyến trong tài khoản của bạn. Sau khi yêu cầu của bạn xem xét và chứng nhận của bạn được cấp, tải về và cài đặt tất cả các tập tin được cung cấp để hoàn tất việc cài đặt.

Lưu ý: Các bước này mô tả cách cài đặt chứng nhận bằng công cụ khóa, vì vậy bạn phải cài đặt Java 2 SDK 1.2 trở lên trên máy chủ.

Tạo Keystore và CSR trong Tomcat

Sử dụng Công cụ khóa, làm theo các bước sau để tạo một keystore và CSR trên máy chủ của bạn.

Để tạo Keystore và CSR trong Tomcat

  1. Nhập lệnh sau đây vào công cụ khóa để tạo keystore:
    keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore
  2. Nhập Mật khẩu. Mặc định là changeit.
  3. Nhập Thông tin phân biệt:
    • Tên và họ — Tên miền hoàn toàn đủ điều kiện, hoặc URL mà bạn muốn bảo mật. Nếu bạn yêu cầu chứng nhận ký tự đại diện, thêm dấu sao (*) vào bên trái của tên chung mà bạn muốn có ký tự đại diện, ví dụ *.coolexample.com.
    • Đơn vị tổ chứcTùy chọn. Nếu có thể, bạn có thể nhập tên DBA vào trường này.
    • Tổ chức — Tên pháp lý đầy đủ của tổ chức của bạn. Tổ chức liệt kê phải là tổ chức đăng ký hợp pháp cho tên miền trong yêu cầu chứng nhận. Nếu bạn ghi danh với tư cách cá nhân, vui lòng nhập tên người yêu cầu chứng nhận vào Tổ chức, và tên DBA (Tên thương mại) vào Đơn vị tổ chức.
    • Thành phố — Tên của thành phố nơi đăng ký/đặt tổ chức của bạn - không viết tắt.
    • Bang/Tỉnh — Tên của tiểu bang hoặc tỉnh nơi đặt tổ chức của bạn - không viết tắt.
    • Mã quốc gia — Mã quốc gia theo định dạng hai chữ cái theo Chuẩn Tổ chức Quốc tế (ISO) nơi đăng ký hợp pháp tổ chức của bạn.
  4. Nhập lệnh sau đây vào công cụ khóa để tạo CSR:
    keytool -certreq -keyalg RSA -alias tomcat -file csr.csr -keystore tomcat.keystore
  5. Nhập Mật khẩu bạn cung cấp trong Bước 2.
  6. Mở tập tin CSR, sao chép tất cả văn bản, gồm
    ----BẮT ĐẦU YÊU CẦU CHỨNG NHẬN MỚI----



    ----KẾT THÚC YÊU CẦU CHỨNG NHẬN----
  7. Dán tất cả văn bản vào mẫu yêu cầu trực tuyến và hoàn thành đơn của bạn.

Để biết thêm thông tin về cách điền vào mẫu yêu cầu trực tuyến, xem Yêu cầu chứng nhận SSL.

Sau khi bạn gửi đơn, chúng tôi bắt đầu rà soát yêu cầu của bạn. Bạn sẽ nhận được email có thêm các thông tin khi quy trình này hoàn tất.

Cài đặt SSL của bạn trong Tomcat

Sau khi chứng nhận được cấp, hãy tải nó về từ Trình quản lý chứng nhận và đặt vào cùng thư mục với keystore của bạn. Sau đó, sử dụng công cụ khóa, nhập vào các lệnh sau để cài đặt chứng nhận.

Các tên tập tin cho các chứng nhận gốc và các chứng nhận trung gian phụ thuộc vào thuật toán chữ ký của bạn.

  • Chứng nhận gốc SHA-1: gd_class2_root.crt
  • Chứng nhận gốc SHA-2: gdroot-g2.crt
  • Chứng nhận trung gian SHA-1: gd.intermediate.crt
  • Chứng nhận trung gian SHA-2: gdig2.crt
  • (chỉ Java 6/7) Chứng nhận gốc SHA-2: gdroot-g2_cross.crt
Cảnh báo: Bạn không nên sử dụng chứng nhận SSL với thuật toán SHA-1 (thông tin thêm).

Bạn cũng có thể tải về các chứng nhận từ thư mục thư mục.

Để cài đặt SSL của bạn vào Tomcat

  1. Cài đặt chứng nhận gốc bằng cách chạy lệnh sau:
    keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file [tên chứng nhận gốc]
  2. Cài đặt chứng nhận trung gian bằng cách chạy lệnh sau:
    keytool -import -alias intermed -keystore tomcat.keystore -trustcacerts -file [tên chứng nhận trung gian]
  3. Cài đặt chứng nhận được cấp vào keystore bằng cách chạy lệnh sau:
    keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file [tên chứng nhận]
  4. Cập nhật tập tin server.xml với vị trí keystore chính xác trong thư mục Tomcat.

    Lưu ý: Đầu nối HTTPS sẽ được ghi chú bên ngoài theo mặc định. Loại bỏ thẻ ghi chú để bật HTTPS.

    • Tomcat 4.x — Cập nhật các yếu tố sau trong server.xml cho Tomcat 4.x:
      clientAuth="false"
      protocol="TLS" keystoreFile="/etc/tomcat5/tomcat.keystore"
      keystorePass="changeit" />
    • Tomcat 5.x, 6.x và 7.x — Cập nhật các yếu tố sau trong server.xml cho Tomcat 5.x, 6.x và 7.x:
      -- Xác định đầu nối SSL Coyote HTTP/1.1 trên cổng 8443 -->
      Đầu nối 
                 port="8443" maxThreads="200"
                 scheme="https" secure="true" SSLEnabled="true"
                 keystoreFile="[đường dẫn đến tập tin keystore của bạn]" keystorePass="changeit"
                 clientAuth="false" sslProtocol="TLS"/>
  5. Lưu thay đổi vào server.xml, sau đó khởi chạy lại Tomcat để bắt đầu sử dụng SSL. Chứng nhận SSL của bạn được cài đặt. Nếu bạn gặp sự cố, hãy xem
    để được trợ giúp chẩn đoán các vấn đề.

Bài này có hữu ích không?
Cảm ơn về phản hồi của bạn. Để nói chuyện với một đại diện của dịch vụ khách hàng, vui lòng sử dụng số điện thoại hỗ trợ hoặc tùy chọn trò chuyện ở trên.
Rất vui vì chúng tôi đã giúp được bạn! Chúng tôi có thể làm gì thêm cho bạn?
Rất tiếc về điều đó. Vui lòng cho chúng tôi biết điều gì làm cho bạn bối rối và vì sao giải pháp không khắc phục được vấn đề này.