创建签名服务器证书

服务器配置 > 安装后的服务器安全性 > 安全套接字层 > 创建签名服务器证书 > 创建签名服务器证书

创建签名服务器证书

1. 生成一个与 SSL 协议公钥加密一起使用的新证书。该密钥对包括：

◦ 在证书中发布的公钥

◦ 只有服务器可访问的私钥

以下示例假定当前目录为安装 jdk 的目录：

% <JDKInstallDir>/bin/keytool -genkeypair -alias myname -storetype PKCS12 
    -keystore <ServerInstallDir>/data/tls/certificate.p12 -keyalg RSA

其中：

◦ -genkeypair 指定生成一个新的密钥对。

◦ -alias 指定一个与密钥库中新密钥条目关联的名称。

请务必写下或记住该别名，因为本流程之后的步骤中还会需要您再次指定这个别名。

◦ -storetype 指定密钥库的格式。该格式必须是 PKCS12。您无法从任何其他类型的密钥库读取服务器证书。

◦ -keystore 指定密钥库的路径名称。

命令运行后，系统会提示您指定其他信息，例如密钥库和证书密码等。这些密码是相同的，同样，您必须在 is.properties 特性文件的mksis.privatekey.password 特性中指定这些密码。有关给出提示的详细信息，请参阅 keytool 文档：

◦ -keyalg 防止与更高强度的密钥产生任何冲突。该格式必须是 RSA。

2. 生成一个证书签名请求 (CSR)，然后将请求发送至 CA，例如：

% <JDKInstallDir>/bin/keytool -certreq -alias myname -storetype PKCS12 
    -keystore <ServerInstallDir>/data/tls/certificate.p12 -file data/tls/certificate.csr

其中：

◦ -certreq 指定生成一个 CSR。

◦ -alias 指定用于创建 CSR 的现有存储条目的名称。该名称和步骤 1 中指定的名称相同。

◦ -file 指定要写入 CSR 的文件路径。

该 CSR 必须包括下列信息：

◦ 密钥库密码

◦ 姓氏和名字 (应当是主机完全限定的域名)

◦ 组织单位/部门名称

◦ 组织名称

◦ 城市或地区

◦ 州或省份

◦ 两个字母的国家/地区代码 (例如 CA 或 US)

◦ 密钥对密码 (如不同于密钥库)

3. 在 CA 中检索签名证书时，请确保采用以下格式之一：

◦ DER 编码二进制 X.509 (.der / .cer)

◦ Base-64 编码 X.509 (.pem / .cer)

◦ PKCS #7 证书 (.p7b)

如果可能，请确保认证路径中的所有证书均为这种格式。

如果您正在使用自定义根 CA 或自定义中间 CA (Verisign)，请执行以下操作之一：

◦ 将自定义根 CA 或自定义中间 CA 证书导入 certificate.p12 密钥库：

% <JDKInstallDir>/bin/keytool –importcert –alias <别名> -storetype PKCS12
    –keystore <ServerInstallDir>/data/tls/certificate.p12 –file <自定义 CA 证书>

其中：

▪ -importcert 指定导入证书响应。

▪ -alias 指定您要导入的现有条目的名称。该名称和步骤 1 中指定的名称相同。

▪ -file 指定读取 CA 响应的路径。

◦ 当检索到签名服务器证书时，获取 PKCS #7 证书 (.p7b)。

4. 如果您使用了任何自定义根 CA 或自定义中间 CA，请将其导入 PTC RV&S 服务器的 JDK 环境的jssecacerts 密钥库中，例如：

% <JDKInstallDir>/bin/keytool –importcert –alias <别名> 
    –keystore <JDK 安装目录>/lib/security/jssecacerts 
    –file <自定义 CA 证书>

其中：

◦ -importcert 指定导入证书响应。

◦ -alias 指定您要导入的现有条目的名称。该名称和步骤 1 中指定的名称相同。

◦ -file 指定读取 CA 响应的路径。

• 该命令提示您输入密钥库密码。如果 jssecacerts 密钥库不存在，您可输入任何密码作为初始密码。请记下密码，并妥善保存，以备之后参考。

• 如果证书颁发机构 (CA) 更新了自己的根 CA 证书或中间 CA 证书，请您务必将其添加到 jssecacerts 密钥库中。考虑到 Java 定位密钥库的方法，所有相关的 CA 证书都必须存在于 jssecacerts 密钥库中。

5. 收到证书后，请将证书导入密钥库，例如：

% <JDK 安装目录>/bin/keytool –importcert –alias myname -storetype PKCS12 
    –keystore /data/tls/certificate.p12 -file data/tls/certificate.pem

其中：

◦ -importcert 指定导入证书响应。

◦ -alias 指定您要导入的现有条目的名称。该名称和步骤 1 中指定的名称相同。

◦ -file 指定读取 CA 响应的路径。

6. 如果使用了任何自定义根 CA 或自定义中间 CA，则在您连接到 PTC RV&S 服务器之前，必须将其导入到所有 PTC RV&S 客户端 JDK 环境的 jssecacerts 密钥库中，例如：

% <JDK 安装目录>/bin/keytool –importcert –alias <别名> 
    –keystore <JDK 安装目录>/lib/security/jssecacerts
    -file <自定义 CA 证书>

JDK 安装目录是由 PTC RV&S 客户端使用的 JDK。如果您不确定此 JDK 的路径，请参阅 PTC RV&S 客户端 lax 文件中的 LAX.NL.CURRENT.VM 特性。

您还可以将 PTC RV&S 服务器上的 jssecacerts 密钥库分发到每个 PTC RV&S 客户端，无需导入证书。将 jssecacerts 密钥库复制到 <JDK 安装目录>/lib/security 并重新启动 PTC RV&S 客户端。

7. 请检查以下文件以确保 SSL 有效：

<服务器安装目录>/config/properties/security.properties

如果 SSL 有效，则安全策略密钥 mks.security.policy.scheme 应指示正在使用 private 安全策略。

安全策略密钥不会自动设置。对所有用户界面，只有在您设置一个使用 _private 的安全策略后，系统才是安全的。

对于 Web 客户端界面，当用户浏览https://<主机名>:<ssl 端口>时，会产生一个安全连接。

这对您有帮助吗?