本章节介绍如何将下载的证书安装到Resin服务器上。安装好证书后,您的Web服务器 将能支持SSL通信,从而保证您Web服务器的通信安全。
说明
如果证书安装过程中遇到问题,华为云提供SSL证书配置优化服务,可实现云上全品牌SSL证书 配置,专业工程师一对一服务。请直接单击一对一咨询进行购买,购买服务后,联系工程师进行 处理。
前提条件
● “证书状态”为“已签发”。
● 已下载SSL证书,具体操作请参见下载证书。
约束条件
● 证书安装前,务必在安装SSL证书的服务器上开启“443”端口,同时在安全组增 加“443”端口,避免安装后仍然无法启用HTTPS。
● 如果一个域名有多个服务器,则每一个服务器上都要部署。
● 待安装证书的服务器上需要运行的域名,必须与证书的域名一一对应,即购买的 是哪个域名的证书,则用于哪个域名。否则安装部署后,浏览器将提示不安全。
用户指南 8 下载与安装 SSL 证书
操作步骤
“证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“---BEGIN CERTIFICATE---”和“---END CERTIFICATE---”,分别为服务器证书 和中级CA证书。
b. 使用OpenSSL工具,将pem格式证书转换为PFX格式证书,得到
“server.pfx”文件。
用户指南 8 下载与安装 SSL 证书
i. “pem”文件和生成CSR时的私钥“server.key”放在OpenSSL工具安装 目录的bin目录下。
ii. 在OpenSSL工具安装目录的bin目录下,执行以下命令将pem格式证书转 换为PFX格式证书,按“Enter”。
openssl pkcs12 -export -out server.pfx -inkey server.key -in 证书 ID_证书绑定的域名_server.pem
回显信息如下:
Enter Export Password:
iii. 输入PFX证书密码,按“Enter”。
此处输入的密码为用户自定义密码,请根据自己的需求进行设置并输入 密码。
回显信息如下:
Verifying - Enter Export Password:
说明
iv. 再次输入PFX证书密码,按“Enter”。
当系统没有回显任何错误信息,表示已在OpenSSL工具安装目录下成功 生成“server.pfx”文件。
c. 使用Keytool工具,将PFX格式证书文件转换成JKS格式,得到“server.jks”文 件。
i. 将b中生成的“server.pfx”文件拷贝到“%JAVA_HOME%/jdk/bin”目 录下。
ii. 在“%JAVA_HOME%/jdk/bin”目录下,执行以下命令,按“Enter”。
keytool -importkeystore -srckeystore server.pfx -destkeystore server.jks -srcstoretype PKCS12 -deststoretype JKS
回显信息如下:
输入目标密钥库口令:
iii. 输入JKS证书密码,按“Enter”。
须知
请将JKS密码设置为与PFX证书密码相同的密码,否则可能会导致Resin启 动失败。
回显信息如下:
再次输入新口令:
iv. 再次输入JKS证书密码,按“Enter”。
回显信息如下:
输入源密钥库口令:
用户指南 8 下载与安装 SSL 证书
v. 输入2.c中设置PFX证书密码,按“Enter”。
回显类似如下信息时,则表示转换成功,已在OpenSSL工具安装目录下 成功生成“server.jks”文件。
已成功导入别名1的条目。
已完成导入命令:1个条目成功导入,0个条目失败或取消
vi. 在“%JAVA_HOME%/jdk/bin”目录下新建一个“keystorePass.txt”文 件,将JKS的密码保存在该文件中。
d. 将转换后的证书文件“server.jks”和新建的密码文件“keystorePass.txt”放 在同一目录下。
步骤二:配置 Resin
1. (可选)安装Resin。
如果已安装,则请跳过该步骤。
a. 登录Resin官网并根据您的系统下载不同的应用程序包。
本步骤以下载Windows版本的Resin-4.0.38版本为例进行说明。
b. 解压下载的Resin包。
c. 进入Resin-4.0.38根目录并找到resin.exe文件。
d. 运行resin.exe文件,运行期间将出现如图8-23所示的命令提示符窗口。
图8-23 提示窗口
e. 运行完成后,启动浏览器,在Web地址栏中输入Resin默认地址“http://
127.0.0.1:8080”,并按“Enter”。
当界面显示如图8-24所示时,则表示安装成功。
用户指南 8 下载与安装 SSL 证书
图8-24 登录 Resin
2. 修改配置文件。
a. 在Resin安装目录下的“Resin.properties”配置文件(由于Resin版本的不 同,配置文件也可能为“resin.xml”文件)中,找到如下参数:
# specifies the --server in the config file
# home_server : app-0
# Set HTTP and HTTPS bind address
# http_address : *
# Set HTTP and HTTPS ports.
# Use overrides for individual server control, for example: app-0.http : 8081 app.http : 8080
# app.https : 8443 web.http : 8080
# web.https : 8443
b. 将“app.https”和“web.https”前的注释符“#”去掉,并将“8443端”口 修改为“443”。修改后,如下所示:
“app.https”、“web.https”:指定服务器要使用的端口号,建议配置为
“443”。
# specifies the --server in the config file
# home_server : app-0
# Set HTTP and HTTPS bind address
# http_address : *
# Set HTTP and HTTPS ports.
# Use overrides for individual server control, for example: app-0.http : 8081 app.http : 8080
app.https : 443 web.http : 8080 web.https : 443
c. 找到如下参数,并将“jsse_keystore_tye”、“jsse_keystore_file”和
“jsse_keystore_password”三行前的注释符“#”去掉。
# JSSE certificate configuration
# Keys are typically stored in the resin configuration directory.
jsse_keystore_tye : jks
jsse_keystore_file : cert/server.jks jsse_keystore_password : 证书密码
d. 修改证书相关配置参数,具体配置请参见表8-5。
# JSSE certificate configuration
# Keys are typically stored in the resin configuration directory.
jsse_keystore_tye : jks
jsse_keystore_file : cert/server.jks jsse_keystore_password : 证书密码
用户指南 8 下载与安装 SSL 证书
表8-5 参数说明
参数 参数说明
jsse_keystore_tye 设定Keystore文件的类型,一般都设为jks jsse_keystore_file “server.jks”文件存放路径,绝对路径和相对路
径均可。示例:cert/server.jks jsse_keystore_passwo
rd “server.jks”的密码。填写“keystorePass.txt”
文件内的密码。
须知如果密码中包含“&”,请将其替换成“&”,以 免配置不成功。
示例:
如果keystorePass="Ix6&APWgcHf72DMu",则修改为 keystorePass="Ix6&APWgcHf72DMu"。
e. 修改完成后保存配置文件。
3. 重启Resin。
效果验证
部署成功后,可在浏览器的地址栏中输入“https://域名”,按“Enter”。
如果浏览器地址栏显示安全锁标识,则说明证书安装成功。
● 如果网站仍然出现不安全提示,请参见为什么部署了SSL证书后,网站仍然出现不 安全提示?进行处理。
● 如果通过域名访问网站时,无法打开网站,请参见为什么部署了SSL证书后,通过 域名访问网站时,无法打开网站?进行处理。
● 如果仍未解决或出现其他问题,华为云市场提供SSL证书配置优化服务,专业工程 师一对一服务,请直接单击一对一咨询进行购买,购买服务后,联系工程师进行 处理。
用户指南 8 下载与安装 SSL 证书
9 推送 SSL 证书到云产品
该任务指导用户将SSL证书一键推送到弹性负载均衡(Elastic Load Balance,简称 ELB)、Web应用防火墙(Web Application Firewall,WAF)、CDN(Content Delivery Network,内容分发网络)等其它华为云产品中。推送后,可以帮助您提升 云产品访问数据的安全性。
前提条件
证书的状态为“已签发”或者“托管中”。
约束条件
● 目前,SCM证书仅支持一键推送到ELB、WAF、CDN的“default”企业项目下。
如果您使用的是其他项目,则无法直接推送,您可以先将证书下载到本地,然后 再到对应的云产品控制台中上传数字证书并进行部署。
● 推送到CDN中,不能与CDN中已有SSL证书名称重复,否则将会推送失败。
● 申请证书时,如果“证书请求文件”选择的是“自己生成CSR”,那么签发的证书 不支持推送到云产品。
● 如果没有购买对应的云产品,或数字证书所绑定的域名没有在对应的云产品中开 通服务,请不要将数字证书推送到对应的云产品中,若推送将可能导致推送失 败。
● 如果您已将证书推送或者上传到对应的云产品中,即目标证书在对应的云产品中 已存在,再次通过SCM平台推送时,将会推送失败。
操作步骤
步骤1 登录管理控制台。
步骤2 单击页面左上方的 ,选择“安全与合规 > 云证书管理服务”,进入云证书管理界 面。
步骤3 在左侧导航栏选择“SSL证书管理”,进入SSL证书管理页面。
步骤4 在需要推送的证书所在行的“操作”列,单击“推送”,系统从右面弹出证书推送详 细页面,如图9-1所示。
用户指南 9 推送 SSL 证书到云产品
图9-1 推送证书
步骤5 选中需要推送的云产品。
图9-2 选择云产品
步骤6 (可选)当推送到ELB、WAF时,需要执行该步骤。
单击目标项目右侧的 ,选择推送的区域。
图9-3 选择推送区域
步骤7 在页面右下角单击“推送”。
页面出现推送证书成功提示,表示SSL证书推送给目标服务成功。
此时,您还需要在目标服务中进行证书配置操作才能在目标服务中正确启用HTTPS服 务。
步骤8 确认是否需要立即前往目标服务进行证书配置操作。
● 是,单击“立即前往配置”。系统将进入目标服务管理页面。请进行证书配置操 作:
● 否,单击“继续推送”或单击页面右上角的 。系统将回到证书推送页面或SSL 证书管理界面。
您可以后续自行前往目标服务页面进行证书管理配置操作。
您可在证书推送界面,查看最近10条推送记录。
----结束
后续操作
证书推送成功后,需要前往目标服务页面进行证书管理配置操作。
配置过程中如有问题,请参考相应服务文档进行处理或咨询对应服务。
用户指南 9 推送 SSL 证书到云产品
● ELB:如果需要支持HTTPS数据传输加密认证,在创建HTTPS协议监听的时候需绑 定证书。此时,如果选择一键推送证书到ELB,则可以在ELB中选择已推送的证 书。否则,需要手动上传证书。具体操作请参见ELB证书管理文档。
另外,一般的HTTPS业务场景只对服务器做认证,因此只需要配置服务器的证书 即可,某些关键业务(如银行支付),需要对通信双方的身份都要做认证,即双 向认证,以确保业务的安全性。双向认证具体操作请参见HTTPS双向认证。
● CDN:如果需要实现HTTPS安全加速,则需要通过配置加速域名的HTTPS证书,
并将其部署在全网CDN节点。此时,如果选择一键推送证书到CDN,则可以在 CDN中选择已推送的证书。否则,需要手动上传证书。具体操作请参见CDN证书 配置文档。
● WAF:当接入防护域名至WAF时,若客户端与WAF之间的通信采用HTTPS协议,
则需要配置证书。此时,如果选择一键推送证书到WAF,则可以在WAF中选择已 推送的证书。否则,需要手动上传证书。具体操作请参见WAF证书配置文档。
如果已配置证书到WAF中,仅需要更新证书,具体操作请参见更新证书。
用户指南 9 推送 SSL 证书到云产品