配置 Rational Change 以使用认证中心签署的 SSL 证书

如果在信任您身份的可信伙伴之间进行 SSL 数据交换,那么自签名证书就已足够。 但是,如果证书由认证中心 (CA) 签署,那么更容易得到其他人的信任。

开始之前

生成密钥库文件

过程

  1. 生成证书签署请求 (CSR)。

    在订购 SSL 证书之前,必须在自己的服务器上生成一个 CSR - 加密的文本主体。CSR 包含特定于贵公司和域名的编码信息。

    您可以使用以下命令,生成 PKCS#10 格式的 CSR。

    keytool -certreq -v -keystore keystore_file -alias machinename –file certreq_file

    例如:

    keytool -certreq -v -keystore "/usr/local/rc53/rc.keystore" -alias hawk -file rc.csr

    这样就将 CSR 发送给 CA。CA 脱机认证证书请求者,并返回证书或证书链。使用该证书或证书链替换密钥库中的现有证书链(包含自签名证书)。

  2. 将自签名证书替换为 CA 返回的证书或证书链。
    1. 将完整的可信 CA 证书导入提供唯一别名的密钥库中。

      这些证书用于认证 CA 的公用密钥。

      keytool -import -v -trustcacerts -alias unique_alias -file CA_certificate_file -keystore keystore_file

      例如:

      keytool -import -v -trustcacerts -alias root1 -file root1.certificate -keystore "/usr/local/rc53/rc.keystore"

    2. 通过输入该命令以导入 CA 返回的证书。

      keytool -import -v -alias unique_alias -file your_certificate_file -keystore keystore_file

      注: 该命令不包含 -trustcacerts 自变量。

      例如:

      keytool -import -v -alias rcCertificate -file rc.certificate -keystore "/usr/local/rc53/rc.keystore"

下一步做什么

修改 Web 服务器

反馈