在本指南中,您将学习如何在 GlassFish 上安装 SSL 证书。 如果您还没有生成 CSR(证书签名请求)代码,指南的第一部分将向您介绍如何在 GlassFish 上生成 CSR 代码。 最后,在最后一部分,你将发现在哪里为 GlassFish 服务器购买最佳 SSL 证书。
目录
为 GlassFish 生成 CSR 代码
在处理 SSL 证书时,必须执行的第一个主要步骤是创建 CSR 代码并将其发送给证书颁发机构(SSL 提供商)。 企业社会责任是一个包含网站和公司详细信息的文本块。 CA 使用它来验证您网站或/和公司的身份。 如果您的 CSR 包含错误或过时的信息,CA 将不会签署您的证书。
您有两个选择:
- 使用我们的CSR 生成器自动创建 CSR。
- 请按照我们的教程逐步操作,了解如何在 GlassFish 中生成 CSR。
您可以使用任意文本编辑器(如记事本)打开 CSR 文件。 在将其发送给您的 CA 之前,我们建议最后检查一下是否有潜在的错别字或错误。 使用我们的解码工具检查您的 CSR。
根据证书的验证类型,你需要等待几分钟到几个工作日才能将 SSL 证书文件发送到你的收件箱。 收到这些文件后,就可以继续安装 SSL 了。
在 GlassFish 上安装 SSL 证书
安装前,请准备好 SSL 证书文件。 您的 CA 会将它们发送到您提供的电子邮件地址。 通常,这些文件都在一个存档文件夹中。
您必须在包含私钥的 GlassFish 密钥存储中导入证书文件。 它与您用来生成 CSR 的密钥存储相同。
步骤 1. 提取所有文件
第一步是从 SSL 提供商提供的 .zip 文件夹中提取所有文件。 它应包含PEM格式(.crt 和 .ca-bundle 文件)或PKCS#7格式(.p7b 和 .cer 文件)的 SSL 证书文件。
步骤 2. 将 SSL 文件上传到 GlassFish 服务器
接下来,你需要将 SSL 文件以第一步中提到的格式之一上传到 GlassFish 服务器。 PEM格式需要两条命令才能导入文件,而PKCS7#7只需要一条命令。
选择其中一种格式并执行上传:
PEM (.crt, .ca-bundle)
如果选择 PEM 格式,则需要先上传 CA 捆绑文件,然后再上传主 SSL 证书文件。 输入以下命令导入 CA 捆绑程序:
keytool -import -trustcacerts-aliasca -file file.ca-bundle -keystore mykeystore.jks
您可以为别名使用任何名称,只要它与密钥存储的别名不同即可。 在 CA 捆绑程序之后,就可以导入 SSL 证书本身了。 使用下面的命令将其上传到服务器:
keytool -import -trustcacerts-aliasmyalias -file file.crt -keystore mykeystore.jks
此处,别名名称必须与密钥存储别名相匹配。
PKCS#7 (.p7b, .cer)
如果选择 PKCS#7 格式,请使用以下命令一次性上传所有文件:
keytool -import -trustcacerts -aliasmyalias-file file.p7b -keystore mykeystore.jks
该命令会询问您的密钥存储密码。
myalias属性应与为关键存储设置的属性相同。 如果不记得别名,可以通过keytool -list -v -keystore mykeystore.jks命令查看。
步骤 3. 导入 GlassFish 的默认密钥库
密钥库准备就绪后,应将其导入 GlassFish 的默认密钥库。 您可以在此处找到它:glassfish4/glassfish/domain/domain1/config/keystore.jks
注意:GlassFish 默认创建 domain1。 如果您为 GlassFish 添加了一个新域,请使用其目录而不是默认目录。
下面是将密钥存储导入 GlassFish 的命令:
keytool -importkeystore -srckeystore mykeystore.jks -destkeystore keystore.jks
步骤 4. 输入两个密钥存储的密码
GlassFish 密钥存储的密码必须与域的 GlassFish 主密码相同。 如果 GlassFish、密钥库和私钥密码不匹配,SSL 证书将无法使用。
步骤 5. 更新 GlassFish 配置
导入成功后,需要更新 GlassFish 配置以启用新的 SSL 证书。 同样,你有两种选择。 您可以直接从浏览器通过 GlassFish 管理控制台执行此操作,也可以手动编辑 domain.xml 文件。
GlassFish 管理控制台
如果决定使用管理控制台,首先需要启用域的安全管理功能。 运行以下命令即可:
asadmin enable-secure-adminyoursite.com
不要忘记将 yoursite.com替换为您的实际域名。
启用后,您可以通过https://yoursite.com:4848连接到 GlassFish 管理控制台。
忽略自签名 SSL 证书警告,继续浏览控制台。 转到配置> server-config> HTTP 服务> HTTP 监听器> http-listener-2:
单击 “SSL “选项卡,在证书昵称字段中输入证书别名。 它与关键存储别名相同。
返回 “常规“选项卡,将HTTPS 端口更改为常用的443。 GlassFish 默认使用 8181 端口。
有时,并非所有配置引用都会更新为管理控制台中的新别名。 如果您遇到这种情况,不用担心,您可以在 domain.xml 文件中手动更新它们。
Domain.xml
Domain.xml 是在 GlassFish 中配置 SSL 证书的另一种方法。 domain.xml 文件位于glassfish4/glassfish/domains/domain1/config/domain.xml中。
要执行安全更新,建议您先停止域的 GlassFish 服务,然后再打开 Domain.xml 文件。 要停止 GlassFish,请运行以下命令:
asadmin stop-domain yoursite.com
将yoursite.com替换为您的域名。
现在,您可以用自己喜欢的文本编辑器打开 domain.xml 文件。 使用Ctrl+F搜索功能查找slas属性,即 GlassFish 默认的 SSL 证书别名。 然后,用证书别名替换slas 。 在本文中,我们使用myalias作为证书别名。
如果将所有别名更新为您的别名,还将为 GlassFish 管理控制台安装 SSL 证书。
保存 domain.xml 文件,然后运行asadmin start-domain yoursite.com命令启动域名。
恭喜,您已成功在 GlassFish 服务器上安装 SSL 证书。
测试 SSL 安装
在 GlassFish 上安装 SSL 证书后,可以使用这些出色的SSL 工具之一来检查安装状态。 即时扫描将揭示任何可能影响证书性能的潜在错误和漏洞。
在哪里为 GlassFish 购买 SSL 证书?
为 GlassFish 购买 SSL 证书的最佳地点是 SSL Dragon。 我们为 SSL 全系列产品提供难以置信的低价和定期折扣。 我们与市场上最好的 SSL 品牌合作,为您的网站提供最先进的加密技术。 我们的所有 SSL 证书都与 GlassFish 兼容。
为了帮助您为自己的网站挑选理想的 SSL 证书,我们开发了两款独有的 SSL 工具。 我们的SSL 向导只需几秒钟就能为您的项目和预算找到最合适的 SSL 协议,而高级证书过滤器可让您按价格、验证和功能对各种 SSL 证书进行排序和比较。
如果你发现任何不准确的地方,或者你对这些 SSL 安装说明有任何细节需要补充,请随时发送反馈到[email protected]。 如果您能提供意见,我们将不胜感激! 谢谢。