使用使用者替代名称创建自签名证书
如果要为多个域使用 SSL 证书,请创建一个带有使用者替代名称 (SAN) 的自签名证书。
- 创建一个名为 domain.cnf 的文件 ,并根据需要添加以下配置:
[ 请求 ]
default_bits = 2048
提示 = 否
DEFAULT_MD = SHA256
X509_extensions = v3_req
判别名 = dn
[ 国家名称 ]
C = ES
ST = MyState
L = MyCity
O = 我的组织
电子邮件地址 = email@mydomain.com (任何电子邮件地址)
CN = sss-laptop136.aaspl-brd.com (CR FQDN URL 名称)
[v3_req]
subjectAltName = @alt_name
[ 备选名称 ]
DNS.1 = sss-laptop136.aaspl-brd.com (CR FQDN URL 名称)
DNS.2 = sss-laptop151.aaspl-brd.com (IQBOT URL FQDN 名称)
- 下载 OpenSSL 实用程序。
- 在 Microsoft Windows 或 Linux 上创建证书:
- 运行以下命令在 Microsoft Windows 上创建证书:
openssl.exe req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout "D:\ssc\ssc\key.key" -days 3560 -out "D:\ssc\ssc\cert.crt" -config "D:\ssc\ssc\domain.cnf"
-
运行以下命令在 Linux 上创建证书:
openssl req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout /tmp/cert/key.key -days 3560 -out /tmp/cert/cert.crt -config /tmp/cert/domain.cnf
- 运行以下命令在 Microsoft Windows 上创建证书:
- 从 证书和密钥文件创建 .pfx 文件:
-
运行以下命令,从 Microsoft Windows 上的 cert 和 key 文件创建 .pfx 文件:
openssl.exe pkcs12 -export -out "D:\ssc\ssc\sss-aspl.pfx" -inkey "D:\ssc\ssc\key.key" -in "D:\ssc\ssc\cert.crt"
-
运行以下命令从 Linux 上的 cert 和 key 文件创建 .pfx 文件:
openssl.exe pkcs12 -export -out /tmp/cert/sss-aspl.pfx -inkey /tmp/cert/key.key -in /tmp/cert/cert.crt"
-
- 在 Microsoft IIS中导入 .pfx 文件。
安装 IQ Bot时使用相同的 .pfx 文件。
- 运行以下命令以在 Java 密钥库中导入证书:
keytool.exe -import -alias dev -keystore "C:\Program Files (x86)\Java\jre1.8.0_91\lib\security\cacerts" -file "D:\cert\xyz.com.crt"
基于 在 32 位 / 64 位操作系统类型上,此 C : \Program 文件 (x86) \java\jre1.5.0_91\lib\security\cacerts 目录 可能有所不同。
如果未在 Java 密钥库中导入证书,则 Control Room 会显示以下错误消息:Java 安全证书路径验证器签名检查失败。
- 转至 %installation_dir%\Configurations 并以 管理员身份运行 stopanduninstallallservices.bat。
- 转至 %installation_dir%\Configurations 并以 管理员身份运行 installandstartervices.bat。
- 使用 Microsoft 管理控制台 (MMC) 将 cert.crt 文件导入到可信根。