IP SSL證書

1.購(gòu)買SSL證書實(shí)例：提交證書申請(qǐng).證書簽發(fā)后下載證書等。

2.使用已購(gòu)買的SSL證書實(shí)例，向CA中心提交證書申請(qǐng)：CA中心是頒發(fā)SSL證書的機(jī)構(gòu)。您可以通過(guò)購(gòu)買的SSL證書實(shí)例向CA中心提交證書申請(qǐng)。只有當(dāng)CA中心通過(guò)您的證書申請(qǐng)時(shí)，SSL證書才會(huì)簽發(fā)給您。

3.將已簽發(fā)的SSL證書安裝到您的Web服務(wù)器或部署到阿里云產(chǎn)品：SSL只有正確安裝到Web服務(wù)器，才能實(shí)現(xiàn)客戶端與服務(wù)器之間的HTTPS通信。由于不同類型的Web服務(wù)器的配置，您需要在證書簽發(fā)后根據(jù)實(shí)際服務(wù)器環(huán)境安裝證書。我們?yōu)槟峁┝嗽谄胀╓eb服務(wù)器上安裝SSL證書的指導(dǎo)，供您參考。

一些阿里巴巴云產(chǎn)品支持部署證書，即通過(guò)SSL證書服務(wù)將簽發(fā)的證書一鍵安裝在云產(chǎn)品上。不同的云產(chǎn)品可能需要部署SSL證書，以實(shí)現(xiàn)不同的功能目的。證書部署到云產(chǎn)品并不意味著證書不需要安裝到服務(wù)器上，具體以云產(chǎn)品的使用說(shuō)明為準(zhǔn)。

4.證書即將過(guò)期時(shí)，為證書續(xù)費(fèi)，用新簽發(fā)的證書代替舊證書：CA中心頒發(fā)的SSL證書默認(rèn)有效期為一年。證書過(guò)期后，將不受瀏覽器的信任，影響客戶通過(guò)HTTPS協(xié)議訪問(wèn)您的業(yè)務(wù)。您可以在證書到期前30個(gè)自然日內(nèi)自動(dòng)更新證書手續(xù)費(fèi)，或提前打開(kāi)證書托管服務(wù)，SSL證書服務(wù)將自動(dòng)更新證書。

續(xù)簽證書意味著重新購(gòu)買并申請(qǐng)與舊證書規(guī)格相同的SSL證書。續(xù)簽證書后，您還必須將續(xù)簽的新證書重新安裝到您的網(wǎng)絡(luò)服務(wù)器（或部署到阿里云產(chǎn)品），以更換即將到期的舊證書。

5.不再需要使用證書時(shí)，向CA中心提交吊銷證書申請(qǐng):如果不再需要使用仍然有效的SSL證書，出于安全考慮(如避免盜用證書)，建議您通過(guò)SSL證書服務(wù)向CA中心提交吊銷證書申請(qǐng)。吊銷證書意味著從頒發(fā)證書的CA中心注銷證書信息。取消的證書將無(wú)效。

1：先下載安裝Java

2：安裝完畢后，根據(jù)實(shí)際路徑找到keytool.exe，如我在這里的路徑：C:\ProgramFiles(x86)\Java\jdk1.8.0_101\bin\keytool.exe

3：生成keystore。打開(kāi)命令行。（cmd)，去keytool所在的路徑，運(yùn)行keytool-genkey-aliastomcat-stopePKCS12-keyalgRSA-2048年-keystored:\mykeystore\keystore.validity365-extsan=ip:192.168.100.132-dname"CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china“此命令中間只需輸入密碼即可生成keystore，假設(shè)密碼為：123456

其中：

1)keystore可以理解為一個(gè)數(shù)據(jù)庫(kù)，可以存儲(chǔ)多組數(shù)據(jù)。每組數(shù)據(jù)主要包括以下兩種數(shù)據(jù)：

a:密鑰實(shí)體（Keyentity）——密鑰（secretkey）或私鑰和配對(duì)公鑰(不對(duì)稱加密)

b:可信的證書實(shí)體（trustedcertificateentries）——只包含公鑰

2）-keystored:\mykeystore\keystore.p12，指定在d:\mykeystore(首先，手動(dòng)創(chuàng)建此文件夾)，生成keystore:keystore.p12

3）-aliastomcat，指示keystore中唯一的別名：tomcat，因?yàn)閗eystore中可能還有其他的別名，比如：tomcat2

4)-storePKCS12指示密鑰倉(cāng)庫(kù)類型為PKCS12

5）-keyalgRSA，指定加密算法，本例采用通用RAS加密算法

6)-keysize2048指定密鑰的長(zhǎng)度為2048

7)-validity3650指定證書有效期為3650天

8）-extsan=ip:請(qǐng)根據(jù)您的服務(wù)器IP地址設(shè)置192.168.100.132，如果不設(shè)置，客戶端在訪問(wèn)時(shí)可能會(huì)報(bào)錯(cuò)

9）-dname“CN=garyyan,OU=mycompany,O=mycompany,L=gd,ST=gd,C=china”

其中：”CN=(姓名與姓氏)，OU=(組織單位名稱)，O=(組織名稱)，L=(城市或區(qū)域名稱)，ST=(州或省名)，C=(單位兩字母國(guó)家代碼)”，我在測(cè)試過(guò)程中發(fā)現(xiàn)隨便填就行了

4：導(dǎo)出公鑰證書(主要用于客戶端)：

運(yùn)行命令：keytool-export-keystored:\mykeystore\keystore.p12-aliastomcat-filemycer.cer-storepass123466

其中：

1）-keystored:\mykeystore\keystore.P12是指上面的keystore文件

2)-aliastomcat是指定別名為tomcat的組

3）-filemycer.當(dāng)前目錄生成的cer指定為mycer.cer證書

4)-storepass123456是生成keystore所用的密碼

SSL證書是經(jīng)Webtrust認(rèn)證的知名證書CA（CertificateAuthority)機(jī)構(gòu)向網(wǎng)站頒發(fā)的可信憑證具有網(wǎng)站身份驗(yàn)證和加密傳輸?shù)碾p重功能。

（SSL證書采用公鑰系統(tǒng)，即使用一對(duì)相互匹配的密鑰對(duì)，使用一對(duì)相互匹配的密鑰對(duì)RSA，ECC，SM等算法，加密和解密數(shù)據(jù)。)

HTTP協(xié)議不能加密數(shù)據(jù)，數(shù)據(jù)傳輸可能導(dǎo)致泄露、篡改或釣魚攻擊等問(wèn)題，SSL證書部署到Web服務(wù)器后，可以幫助您的Web服務(wù)器和網(wǎng)站之間建立可信的HTTPS協(xié)議加密鏈接，為您的網(wǎng)站安全鎖定，確保數(shù)據(jù)安全傳輸。