摘要:證書轉(zhuǎn)換一關(guān)于轉(zhuǎn)換成和之前遇到個問題����,客戶做小程序系統(tǒng),而小程序前后端交互需要協(xié)議��,因此就需要在后端前置服務(wù)器配置證書����。在證書轉(zhuǎn)換和證書配置過程中�,以及后續(xù)的實際生產(chǎn)部署的過程中,也遇到了各種坑�。
[SSL證書轉(zhuǎn)換(一)]關(guān)于JKS 轉(zhuǎn)換成 CRT 和 KEY
之前遇到個問題�����,客戶做小程序系統(tǒng)�,而小程序前后端交互需要https協(xié)議����,因此就需要在后端nginx前置服務(wù)器配置SSL證書。而客戶給的SSL證書����,是Java版的jks證書;且客戶提供的配置好基本環(huán)境的nginx����,所需要的證書是crt和key組合形式,因此需要進行證書轉(zhuǎn)換����。在證書轉(zhuǎn)換和證書配置過程中,以及后續(xù)的實際生產(chǎn)部署的過程中��,也遇到了各種坑�。[強烈建議�,有錢的用戶,或者省事的用戶,使用云服務(wù)器�����,不要自建服務(wù)器�,這樣可以有免費的ssl證書�����,可以很簡單的配置]
現(xiàn)在簡單記錄下配置的步驟:
1.拿到j(luò)ks證書�,和證書密碼(確認沒有密碼的,拿刀找你們運維去��,或找供應(yīng)方去) 2.先將jks 轉(zhuǎn)換成p12格式���,具體命令如下:
keytool -importkeystore -srckeystore C:certserver.jks -destkeystore C:certserver.p12 -srcstoretype jks -deststoretype pkcs12
輸入命令后�,會提示你三步驟���,需要輸入口令(建議輸入相同的口令���,就是你的jks口令,防止后續(xù)證書轉(zhuǎn)換忘記密碼)
1).輸入目標密鑰庫口令:
2).再次輸入新口令:
3).輸入源密鑰庫口令:
接下來就會提示你如下:
已成功導(dǎo)入別名 ca_root 的條目
已完成導(dǎo)入命令: 1 個條目成功導(dǎo)入, 0 個條目失敗或取消
到了這一步�,說明已經(jīng)OK了,剩下的就是轉(zhuǎn)換成crt證書和key了 3.將p12轉(zhuǎn)換成crt證書, 命令如下:
openssl pkcs12 -in C:certserver.p12 -nokeys -clcerts -out C:certserver.crt
4.將p12生成非加密的key, 命令如下:
openssl pkcs12 -in C:certserver.p12 -nocerts -nodes -out C:certserver.key
5.將證書配置到nginx以后����,重啟nginx服務(wù)器 6.使用ssl漏洞掃描工具,檢驗證書鏈的完整性�,并獲取證書鏈(防止小程序報: fail ssl hand shake error),推薦地址https://myssl.com/chain_download.html
7.拷貝證書鏈以后�����,將服務(wù)器上server.crt內(nèi)容替換�����,重啟nginx(或nginx -s reload)
8.如果還不行��,(比如:網(wǎng)頁訪問�,依然不安全) 請清空緩存,刷新
ps : 至于以上的命令��,比如: keytool�、openssl哪里來?你問我���?問我為什么不安裝下呢?百度?����?����!
文章版權(quán)歸作者所有�,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/40613.html
