使用主题备用名称创建自签名证书
- Updated: 2019/06/21
当您要对多个域使用 SSL 证书时,请使用主题备用名称 (SAN) 创建自签名证书。
- 创建一个名为 domain.cnf 的文件,然后根据需要添加以下配置。
[req]
default_bits = 2048
prompt = no
default_md = sha256
x509_extensions = v3_req
distinguished_name = dn
[dn]
C = ES
ST = MyState
L = MyCity
O = MyOrg
emailAddress = email@mydomain.com (Any email address)
CN = sss-laptop136.aaspl-brd.com (CR FQDN Url Name)
[v3_req]
subjectAltName = @alt_names
[alt_names]
DNS.1 = sss-laptop136.aaspl-brd.com (CR FQDN Url Name)
DNS.2 = sss-laptop151.aaspl-brd.com (IQBOT URL FQDN Name)
- 下载 Openssl 实用工具。
- 在 Microsoft Windows 或 Linux 上创建证书:
- 运行以下命令以在 Microsoft Windows 上创建证书:
openssl.exe req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout "D:\ssc\ssc\key.key" -days 3560 -out "D:\ssc\ssc\cert.crt" -config "D:\ssc\ssc\domain.cnf"
-
运行以下命令以在 Linux 上创建证书:
openssl req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout /tmp/cert/key.key -days 3560 -out /tmp/cert/cert.crt -config /tmp/cert/domain.cnf
- 运行以下命令以在 Microsoft Windows 上创建证书:
- 从证书和密钥文件创建 .pfx 文件:
-
如果要从 Microsoft Windows 上的证书和密钥文件创建 .pfx 文件,请运行以下命令:
openssl.exe pkcs12 -export -out "D:\ssc\ssc\sss-aspl.pfx" -inkey "D:\ssc\ssc\key.key" -in "D:\ssc\ssc\cert.crt"
-
如果要从 Linux 上的证书和密钥文件创建 .pfx 文件,请运行以下命令:
openssl.exe pkcs12 -export -out /tmp/cert/sss-aspl.pfx -inkey /tmp/cert/key.key -in /tmp/cert/cert.crt"
-
- 导入 Microsoft IIS 中的 .pfx 文件。
使用与 IQ Bot 安装相同的 .pfx 文件。
- 运行以下命令以将证书导入 Java 密钥库:
keytool.exe -import -alias dev -keystore "C:\Program Files (x86)\Java\jre1.8.0_91\lib\security\cacerts" -file "D:\cert\xyz.com.crt"
根据操作系统 32-bit/64-bit 的类型,此 C:\Program Files (x86)\Java\jre1.8.0_91\lib\security\cacerts 目录可能有所不同。
如果证书未导入 Java 密钥库中,则 Control Room 会显示以下错误消息: Java 安全证书路径验证程序签名检查失败。
- 转到 %installation_dir%\Configurations,然后以管理员身份运行 stopanduninstallallservices.bat。
- 转到%installation_dir%\Configurations,然后以管理员身份运行 installandstartervices.bat。
- 使用 Microsoft 管理控制台 (MMC) 将 cert.crt 文件导入受信任根目录中。