一、  生成證書請求

1.  生成keystore文件

生成密鑰庫文件keystore.jks需要使用JDK的keytool工具。命令行進(jìn)入JDK或JRE下的bin目錄，運(yùn)行keytool命令（示例中粗體部分為可自定義部分，可根據(jù)實(shí)際配置情況相應(yīng)修改）。

keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore D:\keystore.jks -storepass password -keypass password

以上命令中，server為私鑰別名(-alias)，生成的keystore.jks文件默認(rèn)放在D盤根目錄下。

2.  生成證書請求文件(CSR)

keytool -certreq -alias server -sigalg SHA256withRSA -file D:\certreq.csr -keystore D:\keystore.jks -keypass password -storepass password

請備份密鑰庫文件keystore.jks，并稍后提交證書請求文件certreq.csr，等待證書簽發(fā)。密鑰庫文件keystore.jks丟失將導(dǎo)致證書不可用。

注：如SSL證書已簽發(fā)，不需要再次生成CSR，開始參考第二步安裝證書即可。

 二、  導(dǎo)入服務(wù)器證書

1.  獲取服務(wù)器證書 

將證書簽發(fā)郵件中“以下是您的服務(wù)器證書”代碼從BEGIN到 END結(jié)束的服務(wù)器證書內(nèi)容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘貼到記事本等文本編輯器中，并修改文件擴(kuò)展名，保存為server.cer文件

2.  獲取CA證書

將證書簽發(fā)郵件中的“以下是您的中級CA證書”部分里的第一段CA證書的內(nèi)容（包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘貼到記事本等文本編輯器中，保存并修改文件擴(kuò)展名為ca.cer文件。

3.  查看keystore文件內(nèi)容

進(jìn)入JDK安裝目錄下的bin目錄，運(yùn)行keytool命令查詢keystore文件信息。

keytool -list -keystore D:\keystore.jks -storepass password

查詢到PrivateKeyEntry（或KeyEntry）屬性的私鑰別名(alias)為server，在稍后導(dǎo)入服務(wù)器證書時(shí)需要用到（示例中粗體部分為可自定義部分，可根據(jù)實(shí)際配置情況相應(yīng)修改）。

注意，導(dǎo)入證書時(shí)，一定要使用生成證書請求文件時(shí)生成的keystore.jks文件。keystore.jks文件丟失或生成新的keystore.jks文件，都將無法正確導(dǎo)入您的服務(wù)器證書。

4.  導(dǎo)入證書

導(dǎo)入中級CA證書（必須優(yōu)先導(dǎo)入中級證書，否則會(huì)觸發(fā)證書鏈不完整錯(cuò)誤）

keytool -import -alias ca -keystore D:\keystore.jks -trustcacerts -storepass password -file D:\ca.cer -noprompt

導(dǎo)入服務(wù)器證書

keytool -import -alias server -keystore D:\keystore.jks -trustcacerts -storepass password -keypass password -file D:\server.cer

導(dǎo)入服務(wù)器證書時(shí)，服務(wù)器證書的別名必須和私鑰別名一致。請留意導(dǎo)入中級CA證書和導(dǎo)入服務(wù)器證書時(shí)的提示信息，如果您在導(dǎo)入服務(wù)器證書時(shí)使用的別名與私鑰別名不一致，將提示“認(rèn)證已添加至keystore中”而不是應(yīng)有的“認(rèn)證回復(fù)已安裝在keystore中”。

三、  安裝服務(wù)器證書

1.    配置Jboss 

打開Jboss安裝目錄下server\default\deploy\jbossweb.sar目錄中的server.xml文件，找到并修改以下內(nèi)容 

  < !-- SSL/TLS Connector configuration using the admin devl guide keystore

      < Connector protocol="HTTP/1.1" SSLEnabled="true"

           port="8443" address="${jboss.bind.address}"

           scheme="https" secure="true" clientAuth="false" 

           keystoreFile="${jboss.server.home.dir}/conf/chap8.keystore"

           keystorePass="rmi+ssl" sslProtocol = "TLS" / >

      -- >

修改為

      < Connector protocol="HTTP/1.1" SSLEnabled="true"

           port="443" address="${jboss.bind.address}"

           scheme="https" secure="true" clientAuth="false" 

           keystoreFile=" C:\keystore.jks "

           keystorePass="password" sslProtocol = "TLS" / >

2.    訪問測試 

重啟Tomcat，訪問https://youdomain:port，測試證書的安裝。 

默認(rèn)的SSL訪問端口號為443，如果使用其他端口號，則您需要使用https://yourdomain:port的方式來訪問您的站點(diǎn)。 

四、服務(wù)器證書的備份及恢復(fù)

在您成功的安裝和配置了服務(wù)器證書之后，請務(wù)必依據(jù)下面的操作流程，備份好您的服務(wù)器證書，以防證書丟失給您帶來不便。 

1.    服務(wù)器證書的備份 

備份服務(wù)器證書密鑰庫文件keystore.jks文件即可完成服務(wù)器證書的備份操作。 

2.    服務(wù)器證書的恢復(fù) 

請參照服務(wù)器證書安裝部分，將服務(wù)器證書密鑰庫keystore.jks文件恢復(fù)到您的服務(wù)器上，并修改配置文件，恢復(fù)服務(wù)器證書的應(yīng)用。