标签为 SSL 的文章

在Jboss中添加Godaddy的SSL域名证书的方法

公司购买的Godaddy的SSL域名证书快要到期了,最初用于Jboss下的SSL域名证书是Godaddy直接给我们的,命名为tomcat.jks,只需要在server.xml中指定keystoreFile(证书存放的路径) 与 keystorePass(证书上的密钥)的值就可以使用了。
但这一次通过Godaddy的域名管理后台下载好了 域名的证书(your-domain-name.crt) 和 域名的证书私钥(your-key-name.key) 之后,按照Godaddy的官方文档所创建出的新证书始终不能成功应用,具体表现为Jboss在启动的时候根本无法监听443端口,而且80端口也会被影响,无法正常访问。

后来,通过不断的尝试,终于把问题给解决了,主要有两种方法:

方法一:
按照Godaddy的官方文档中第一个选项来生成tomcat.jks(这个文件的名称可以修改),并在Jboss的server.xml中指定其key的类型为keystoreType="PKCS12";

# openssl pkcs12 -export -chain -CAfile gd_bundle.crt -in your-domain-name.crt -inkey your-key-name.key -out tomcat.jks -name tomcat
若域名证书的私钥文件上带有密码的话,会提示要求输入密码;
接着还会要求输入两次新创建的tomcat.jks证书的密钥。

其中,gd_bundle.crt需要从Godaddy的Repository下载,your-domain-name.crt 和 your-key-name.key 都需要从Godaddy的域名管理后台下载,tomcat.jks可以修改为你想要生成的证书的名字,最后的tomcat是证书的别名,同样可以修改。

修改server.xml中的配置如下:

      <Connector protocol="HTTP/1.1" SSLEnabled="true" 
           port="443" address="${jboss.bind.address}"
           scheme="https" secure="true" clientAuth="false" 
           keystoreFile="${jboss.server.home.dir}/conf/tomcat.jks"
           keystorePass="your-key-password" keystoreType="PKCS12" sslProtocol = "TLS" />

其中,keystoreFile的值需指定为实际的key所存放的位置,建议存放到jboss的conf目录;keystorePass的值为上面创建tomcat.jks时设置的密钥的值。

最后,用新的tomcat.jks替换掉旧的,然后重启一下Jboss,通过https访问便可以看到新的域名证书了。

方法二:
因为公司有很多的服务器都需要用到这个新的tomcat.jks证书文件,而方法一还需要修改Jboss的server.xml配置文件,感觉比较麻烦。
并且因为之前的证书文件在未经修改server.xml时都可以成功应用,新的应该也有办法,最后我找到了一篇文章,实现了不修改server.xml就可以成功应用新证书。

# openssl pkcs12 -export -chain -CAfile gd_bundle.crt -in your-domain-name.crt -inkey your-key-name.key -out tomcat.jks.pkcs12 -name tomcat
该步骤与方法一相同,仅仅是将tomcat.jks名称改为了tomcat.jks.pkcs12,以便下面的步骤生成新的tomcat.jks。

# keytool -importkeystore -deststorepass 'your-key-password' -destkeypass 'your-key-password' -destkeystore tomcat.jks -srckeystore tomcat.jks.pkcs12 -srcstoretype PKCS12 -srcstorepass 'your-key-password' -alias tomcat

未经修改的server.xml中的配置如下:

      <Connector protocol="HTTP/1.1" SSLEnabled="true" 
           port="443" address="${jboss.bind.address}"
           scheme="https" secure="true" clientAuth="false" 
           keystoreFile="${jboss.server.home.dir}/conf/tomcat.jks"
           keystorePass="your-key-password" sslProtocol = "TLS" />

最后,同样是用新的tomcat.jks替换掉旧的,然后重启一下Jboss,通过https访问便可以看到新的域名证书了。

, , ,

No Comments