常见CA证书颁发机构
GlobalSign、Verisign(工商银行等机构使用)、网证通(国产)、Entrust、Thawte、GeoTrust。
国产的对浏览器支持的情况不好,尤其移动设备,泛域名证书目前支持的机构不多,一张域名型证书大约是几千元一年。
第三方证书购买生成流程
1.在要部署的服务器上用openssl工具(或者jdk的keytool工具)生成证书请求文件
openssl genrsa -des3 -out spsy.gdfda.gov.cn.key 1024 --生成私钥文件,会提示设定私钥密码 openssl req -new -key spsy.gdfda.gov.cn.key -out spsy.gdfda.gov.cn.csr --生成证书请求文件,会提示输入国家、所在城市、单位信息等
2.将证书请求文件给到证书机构(SSL提供商,比如,网证通),证书机构根据请求文件生成颁发证书,证书文件一般为cer格式
3.将证书安装到服务器
安装在nginx(需要安装nginx ssl模块先)
server {
listen 443;
server_name spsy.gdfda.gov.cn;
ssl on;
ssl_certificate /hnisi/cert/spsy.gdfda.gov.cn.crt;
ssl_certificate_key /hnisi/cert/spsy.gdfda.gov.cn.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
# 若ssl_certificate_key使用33iq.key,则每次启动Nginx服务器都要求输入key的密码。
}
安装在tomcat
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS"
keystoreFile="keystore/SSL.jks" keystorePass="证书解压密码" />
几种文件格式的说明
jks(java key store):JAVA的keytools证书工具支持的证书私钥格式,密钥库文件,可以容纳多个公钥或私钥,同keystore、truststore
cer:证书的公钥
csr:证书请求文件
pfx:浏览器用的,同jks
相关
ca单、双向认证