tomcat安装godaddy的ssl安全证书
godaddy有三种ssl证书: 1.单个域名 2.多域名ucc证书 3.单域名无限子域名 wildcard证书
我用的是第二种支持5个域名ucc证书,原本只有一个域名,想在加一个域名测试用.服务器端是tomcat 6
注意:新加域名会让当前证书在24小时内生效,如果是生产环境一定要小心
一、添加新域名
login godaddy ----->My account----> SSL CERTIFICATES---->Launch
选中要加子域名的common name ----> manage ----> 在New Subject Alt Name加入新域名,CSR可以不写
二、生成keystore和csr
由于我删除了原来的keystore 和 csr,所以重新生成一下,如果你没有删除只要直接导入新证书就可以了
keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore
按照提示来就可以了,注意 First and Last Name只要填common name就可以了
生成csr 文件
keytool -certreq -keyalg RSA -alias tomcat -file csr.csr -keystore tomcat.keystore
三、更新csr文件
将csr.csr的内容复制一下,到godaddy的面板里,选中common name 之后点击re-key,粘贴上新生成的csr,之后下载新生成的证书文件
四、导入新的证书
之前按照网上的教程说官方的教程里有错误,导入根证书的时候要下载alicert_class2_root.crt 导入,根据我的实践如果是单个域名,导入valicert_class2_root.crt是没问题的.但是如果你的ucc下有多个域名,就要按照官方的教程来,下载gd-class2-root.crt导入
官方下载的zip包里有三个文件 gd_bundle.crt gd_intermediate.crt 和 YourCommonName.crt
我们要导入的三个文件是 gd-class2-root.crt gd_intermediate.crt YourCommonName.crt
开始导入:
keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file gd-class2-root.crt
这里会提示有 system-wide的CA是否要覆盖,一定要输入yes
keytool -import -alias intermed -keystore tomcat.keystore -trustcacerts -file gd_intermediate.crt
keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file <name of your certificate>
五、配置Tomcat
编辑tomcat目录下tomcat/conf/server.xml 找到配置ssl的地方修改为
<Connector port="8443" minSpareThreads="5" maxSpareThreads="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/opt/membership-apache-tomcat-6.0.36/server2.keystore"
keystorePass="PASSWORD"/>
要修改 keystoreFile的路径和PASSWDOD为你第二步生成keystore所在的路径和生成证书时输入的密码
重启tomcat生效.最后可以用godaddy提供的ssl检查工具来检查是否安装成功