Tomcat6服务器证书安装使用指南.doc

Tomcat6.0 服务器证书安装使用指南 陕西省电子认证注册服务中心 2013/07/15 文档说明： 本文档是Apache Tomcat 6.0 证书安装使用指南，主要描述如何产生密钥对，web证书申请和如何将 web 证书安装到 Apache Tomcat web 服务器上，实现 SSL。 版本信息： 当前版本 1.0 技术支持 文档发行说明 当您阅读完本文档，您应该能解决如下问题： 1、 WEB 服务器证书的请求文件 CSR 的产生； 2、 WEB 服务器证书的在线申请； 3、 WEB 服务器证书的安装； 4、 WEB 服务器 SSL 安全配置； 5、 WEB 服务器证书的导出（备份）和导入（恢复）； 6、 SSL 双向认证的配置； 7、 使您的系统信任 SHECA 根证书； 文档书写环境说明： 为了测试基于 apache tomcat WEB 服务的 SSL 双向认证，本文档采用了必威体育精装版的Apachetomcat6.0 WEB 服务。以下是本文档的具体试验环境： WEB 服务器：Windows 2003 Enterprise Server Edition+ApacheTomcat6.0 客户端：Windows XP Professional + Service Pack 3 安装环境 Web 服务器，本文以 windows 操作系统为例。系统正确安装 JDK1.4 以上版本和 Apache Tomcat 6.0 版本软件。 通过KEYTOOL工具为服务器申请证书 本文采用标准的Java keytool方式，并基于标准的Java keystore方式。 （注：本文档在命令行模式下执行的命令运行路径均需要定位于keytool.exe所在的路径，请遵照执行，以免差错） 例如在C盘根目录下建立文件夹zhengshu存放各类证书文件 产生密钥对： 在windows操作系统上打开“命令提示符”窗口，在命令行模式下运行以下命令以产生密钥既jks文件。 例： .\keytool -genkey -keyalg rsa -keysize 1024 -alias sxra -keypass 123456 –keystore C:\zhengshu\sxrakeystore.jks -storepass 123456 此时系统会提示您输入你的信息，请确保以下内容和您提交到陕西RA的内容一致，以保证服务器证书的签发。 Common Name（服务器的政务外网 IP） Organization name （陕西省） Organization unit name （组织单位名或部门名） City or location name（城市或区域名） State or province name （省份或者州名） Country name （国家名的两位编码，中国为“CN”） 或者应以下命令： keytool -genkey -keyalg rsa -keysize 1024 -dname cn=01, OU=陕西省信息中心,O=陕西省,L=西安,ST=陕西,c=CN -alias sxra -keypass-keystore C:\zhengshu\sxrakeystore.jks -storepass产生证书请求（CSR）： 再运行，例： .\keytool -certreq -alias sxra -keystore C:\zhengshu\sxrakeystore.jks -file C:\zhengshu\sxraserver.csr -storepass 123456 产生证书请求文件“sxraserver.csr”； 申请服务器证书： 将“sxraserver.csr”文件提交陕西RA。 RA中心处理完毕申请，分配给用户证书sxraserver.cer。同时分配根证书CEGN_RCA.cer和CEGN_OCA.cer 用户将证书文件sxraserver.cer、CEGN_RCA.cer和CEGN_OCA.cer复制到sxrakeystore.jks文件所在的C:\zhengshu\目录下。 服务器证书导入： 导入根证书CEGN_RCA.cer： 将存放根证书的文件打开，选中CEGN_RCA.cer，运行以下命令导入根证书： .\keytool -import -trustcacerts -alias cegnrca -file C:\zhengshu\cegnrca.cer -storepass 123456 -keystore C:\zhengshu\sxrakeystore.jks 导入中级证书CEGN_OCA.cer 按照步骤一，同样的将CEGN_OCA.cer证书导