EASHTTPS证书配置HTTPS工作原理:1、使用RSA非对称加密算法进行对称加密算法及密钥交换。2、交换过程中浏览器会用网站RSA公钥加密信息,服务端用RSA私钥解密。3、利用协商好的对称加密算法和密钥进行后续通讯。SSL证书:包含网站RSA公钥,网站及拥有者的信息,颁发机构的签名等信息。证书申请流程:1、本地生成RSAkey文件,其中包含一对私钥和公钥。2、根据key生成证书申请文件,文件中包括公钥和申请者相关信息。3、将证书申请文件提交给CA机构认证,通过后签发证书文件。SSL证书存储,通常都符合X.509标准,支持多种格式:1、PEM,以Base64编码格式存储,扩展名.pem,.cer,.crt2、DER,以二进制格式存储,扩展名.der,.cer,.crt3、PKCS#12,可以包含证书及私钥,扩展名.p124、JavaKeyStore,Java程序用证书存储,可存储证书,私钥等,扩展名.jks网站部署HTTPS支持,需要如下文件:1、申请证书时本地生成的私钥。2、证书机构颁发的证书文件,通常名字是*.crt。3、证书颁发机构的中级证书及根证书链,通常名字是*.crt。EAS的网络代理基于Java开发,需要JavaKeyStore格式的证书存储文件,存储网站的私钥、证书以及证书链。可以利用工具KeyStoreExplorer来生成.jks文件。从如下地址下载安装:http://www.keystore-explorer.org/downloads.html。工具主界面如下所示:如果是通过java的keytool生成的key,其会在.jks中包含私钥和一个自签发的证书,必须要先把私钥剥离出来。打开证书申请时生成的.jks文件,右键Export|ExportPrivateKey。如果是用openssl生成的key文件,无需此步骤。选择导出的文件类型,类型不限,后面导入时类型匹配即可。输入加密密码和输出的文件路径、文件名。由于私钥非常重要,建议设置密码保护。新建一个KeyStore,类型选择JKS。右键菜单,ImportKeyPair,选择导入的密钥类型。选择私钥文件,并输入私钥保护密码。选择证书机构颁发的证书文件。然后点击Import。导入后,会要求输入JKS中的密钥对存储密码,后续可以在右键菜单中的SetPassword功能中重新设置。Tools菜单中有一个SetKeyStorePassword功能,设置的是JKS文件存储密码。导入私钥和证书后,还需要导入证书链,证书颁发机构通常会将中级证书和根证书保存在单个文件中,在导入JKS之前,需要将每个证书单独保存到一个文件中。用文本编辑工具打开证书链文件,将每组-----BEGINCERTIFICATE----------ENDCERTIFICATE-----以及之间的内容保存到一个文件中。比如GoDaddy的证书链文件gd_bundle-g2-g1.crt包含了3个证书,需要分别保存到3个文件中。在右键菜单中,选择EditCertificateChain|AppendCertificate,选择上述分离保存的文件,按顺序逐个导入,如果导入报错,通常是导入顺序不对。直到再次导入时,提示如下,说明已经有了完整的证书链,导入完成。保存证书文件,建议用申请的域名命名。验证KeyStore已经正确创建,右键菜单,ViewDetails|CertificateChainDetails.看到如下这样完整的证书链,而且最上级的证书颁发者是其自己(根证书),即表示正确。将JKS证书存储文件复制到EAS服务器上,启动管理控制台,切换到网络代理页签,点击“高级设置”按钮。选择上传的证书文件,并输入KeyStore密码和密钥对存储密码。重启网络代理并访问。如果是测试环境,可修改本机的system32/drivers/etc/hosts文件,增加一条域名记录,IP地址为测试服务器地址。打开浏览器,https方式访问配置的站点,如果出现如下这样绿色指示,查看证书也显示正常,说明证书部署正确。至此,HTTPS证书配置工作顺利完成。
