Nginx + Tomcat HTTPS/SSL 配置方法 ——申请证书

        最新研究了一下NGINX+TOMCAT 配置 HTTS。其实还是比较简单。知识其中有些流程如果没有搞清楚,还是容易被绕晕。在此简单的分享一下。

        首先服务器采用的是 NGINX 负载了两台TOMCAT。这里容易误会成NGINX和tomcat的证书需要有所关联,其实不然。NGINX和tomcat的配置是独立开来的。可以当做两个工作来做。

        先说一下服务器安装需要哪些文件。

        TOMCAT :  CSR文件  JKS文件    从服务商处获取的 TOMCAT服务器证书  和  服务商的中级证书

        NGINX:      CSR文件   KEY文件    从服务商处获得的证书文件(这里比tomcat少一个服务商中级证书,因为NGINX的证书本身包含了服务器证书和中级证书,如果申请时提供的CSR是同一个,那此处的证书实际上是 TOMCAT的服务器证书和 中级证书 拼成的一个文件。使用文档编辑器打开看一下就会明白了)

 

       申请NGINX和TOMCAT证书文件 。这里有两种方法:

       第一种(NGINX和TOMCAT使用各自的CSR文件):

                1.在服务器上生成TOMCAT的 JKS,通过JKS生成 CSR。 参考:https://www.trustasia.com/help/tomcat6x-generate-csr.htm

                 这里特别注意  使用的 别名 和 密码 要牢记。因为按照证书时要保持一致。      

                2.在服务器上生成NGINX 的  CSR文件 和  KEY文件。 参考:https://www.trustasia.com/help/nginx-generate-csr.htm

                    也可以方便的使用在线生成工具:https://www.trustasia.com/tools/csr-generator/

                网上相关的文章很多,这里就不多说了。 需要特别注意此处生成的CSR只使用于NGINX。TOMCAT服务器必须要有JKS(这里也可以是kestore,其本质就是一个密钥存储的容器)。

            


              经过以上两部可以得到  NGINX的CSR文件和tomcat的CSR文件。将两个CSR分别提交申请。可以获得相应的证书文件。


     第二种(NGINX和TOMCAT使用同一CSR文件)

                 1.在服务器上生成TOMCAT的 JKS,通过JKS生成 CSR。 参考:https://www.trustasia.com/help/tomcat6x-generate-csr.htm     

                    这里特别注意  使用的 别名 和 密码 要牢记。因为按照证书时要保持一致。      

                 2.NGINX的CSR可以使用TOMCAT的CSR。这样我们必须要通过TOMCAT的JKS文件生成 NGINX的KEY文件。参考:http://blog.csdn.net/maotongbin/article/details/51064272

                 通过CSR申请获得证书文件,你会发现NGINX的证书文件,实际上就是TOMCAT两个证书文件拼成的一个文件。


       最后提供两个校验方法:

         CSR校验:https://cryptoreport.websecurity.symantec.com/checker/views/csrCheck.jsp

         校验 证书 、CSR、KEY是否一致:

                

symfile:ssl2016>openssl x509 -noout -modulus -in 证书.crt | openssl md5
(stdin)= 5880ddf3067e9d36c50ae7efbb9d7377
symfile:ssl2016>openssl req -noout -modulus -in  CSR文件.csr | openssl md5
(stdin)= 5880ddf3067e9d36c50ae7efbb9d7377
symfile:ssl2016>openssl rsa -noout -modulus -in KEY文件.key | openssl md5
(stdin)= a36797b0dd727418868a8ca0f59343e2


     



         

                   

 

         

你可能感兴趣的:(Nginx + Tomcat HTTPS/SSL 配置方法 ——申请证书)