我有一个CENT OS服务器和应用程序托pipe在Apache的Tomcat。 我不太了解SSL证书,但是我确实遵循了设置
1 – 生成密钥存储文件
keytool -genkey -alias -keyalg RSA -keysize 2048 -keystore -sigalg SHA256withRSA
2 – 生成CSR
keytool -certreq -alias -file -keystore -sigalg SHA256withRSA
3 – import
下载赛门铁克公司提供的p7b文件,并导入证书
keytool -import -alias -trustcacerts -file -keystore
一切正常,但赛门铁克的SSL工具箱显示以下警告
build议:在服务器上安装Root。 为了获得最佳做法,请从服务器上删除自签名的根目录。
任何想法我怎么能卸载/删除从服务器的根,以避免此警告?
我发现的唯一的东西是这篇文章基本上说:“浏览器将收到您的付费证书也得到您的自签名证书”,这是他们的工作,弄清楚。
恕我直言,Symantic的产品浪费了我的时间在一个疯狂的追逐。 他们还build议用RC4修复BEAST(我认为),这是不推荐的。 浏览器正在修复BEAST。
BEAST The BEAST attack is not mitigated on this server. Root installed on the server. For best practices, remove the self-signed root from the server.
我推荐这个服务: https : //www.ssllabs.com/ssltest/analyze.html
他们的补救文章是非常有帮助的。
这是我用来设置nginx的文章。 它需要一个变化来获得一个A +
要从tomcat中删除根自签名证书,您需要从Java安装中删除它。 这个动作是通过在你的java jdk安装中的bin文件夹中find的keytool二进制exectuable执行的。
您应该使用从tomcat中删除自签名证书的选项如下:
keytool -delete -noprompt -alias ${cert.alias} -keystore ${keystore.file} -storepass ${keystore.pass}
例如,要删除我在我的机器上安装的名为tomcat的自签名证书,必须使用以下命令:
"%JAVA_HOME%\bin\keytool" -delete -noprompt -alias tomcat
更多信息:
https://docs.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html