我需要一个有经验的人来指导我这个小项目:-)
我们有一个具有Active Directory证书服务angular色的域控制器[Win2k8 R2]。 我们称之为ServerOne.OurDomain.com。
我有第二台运行Apache Tomcat Web服务器的Windows 2008 R2服务器ServerTwo.OurDomain.com。 我们正在为所有需要SSL连接到OAuth服务器的用户设置一个Outlook插件。 我摸索指示将OAuth模块添加到Tomcat,并在端口8443 [Tomcat的默认SSL端口]上启用使用SSL的连接器。
但现在我不知道如何“把2和2放在一起” – 如何从我们的内部CA生成一个证书,所以当连接到ServerTwo.OurDomain.com时没有SSL证书错误? 到目前为止,我使用JRE“keytool.exe”程序在ServerTwo上创build了“keystore”文件,当然,证书显示为[如在浏览器中单击locking图标]作为不带CA的自签名证书链。
任何在这方面的帮助,不胜感激。
我结束了自己的想法。 我logging了我的步骤; 希望这对未来有同样问题的人有帮助:
-
在Tomcat上生成CSR
- 创build密钥库和私钥:keytool -genkey -alias tomcat -keyalg RSA -keystore keystore
- “Keytool”位于Java的JDK或JRE主目录的“bin”文件夹中
- “密钥库”包含密钥库文件的path,例如“C:\ store \ keystore”
- 填写它要求的信息,注意“姓名”确实是要求FQDN
- 创buildCSR文件:keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore
- [我然后复制到一个共同的份额:]复制certreq.csr Z:\
-
签署证书
- 在具有Active Directory证书服务angular色的服务器上,在提升的命令提示符下:certreq -submit -attrib“CertificateTemplate:WebServer”Z:\ certreq.csr certificate.cer
- 在popup窗口中select您正在使用的CA.
- [然后我复制回分享:] copy certificate.cer Z:\
-
导入根CA证书
- 在具有Active Directory证书服务angular色的服务器上:
- 服务器pipe理器 – >angular色 – > Active Directory证书服务 – > [您的CA] – >颁发的证书
- 打开您的CA签名的列表中的任何一个,转到“证书path”选项卡
- 如果是您的服务器的CA,则查看根CA的“查看证书”
- 详细信息选项卡 – >复制到文件… [然后我保存到Z:\ RootCA.cer]
- 在Tomcat服务器上:
- keytool -import -trustcacerts -alias rootca -file Z:\ RootCA.cer -keystore keystore
- input“yes”信任证书
-
为Tomcat导入证书
- keytool -import -trustcacerts -alias tomcat -file Z:\ certificate.cer -keystore keystore
参考文献:
- 第1步: https : //www.globalsign.com/support/csr/serversign_tomcat.php
- 第2步: http : //www.visualsvn.com/support/topic/00035/
- 我显然只允许在这个网站上发布2个超链接。
请注意,如果此时浏览器仍然不相信它是由受信任的根CA签名的,则可能必须通过组策略推出根CA服务器。 。 。 对我来说这是一个快速的Google。 在这些步骤之前,我已经设置好了,所以我不确定是否重要。
就像刚刚创build一个自签名证书一样,这不会自动进行身份validation,因为您不是受信任的证书颁发机构。
最简单,最快捷的方法就是将证书安装到本地可信任的证书存储区中,但是您需要在每台机器上执行此操作,所以这样做会非常耗时,并且会在每年安装一台新机器时导致问题未来,忘了这样做,所以更好的部署方法是使用GPO。 如果您有组策略设置,请按照此处的说明进行操作。