使用主體別名建立自我簽署憑證
若您要將 SSL 憑證用於多個網域,請使用主體別名 (SAN) 建立自我簽署憑證。
- 建立名為 domain.cnf 的檔案,並根據您的需求新增以下組態:
[req]default_bits = 2048prompt = nodefault_md = sha256x509_extensions = v3_reqdistinguished_name = dn[dn]C = ESST = MyStateL = MyCityO = MyOrgemailAddress = email@mydomain.com (Any email address)CN = sss-laptop136.aaspl-brd.com (CR FQDN Url Name)[v3_req]subjectAltName = @alt_names[alt_names]DNS.1 = sss-laptop136.aaspl-brd.com (CR FQDN Url Name)DNS.2 = sss-laptop151.aaspl-brd.com (IQBOT URL FQDN Name) - 下載 Openssl 公用程式。
- 在 Microsoft Windows 或 Linux 上建立憑證:
- 執行以下命令在 Microsoft Windows 上建立憑證:
openssl.exe req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout "D:\ssc\ssc\key.key" -days 3560 -out "D:\ssc\ssc\cert.crt" -config "D:\ssc\ssc\domain.cnf" -
執行以下命令在 Linux 上建立憑證:
openssl req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout /tmp/cert/key.key -days 3560 -out /tmp/cert/cert.crt -config /tmp/cert/domain.cnf
- 執行以下命令在 Microsoft Windows 上建立憑證:
- 從 cert 和 key 檔案建立 .pfx 檔案:
-
如果要在 Microsoft Windows 上從 cert 和 key 檔案建立 .pfx 檔案,請執行以下命令:
openssl.exe pkcs12 -export -out "D:\ssc\ssc\sss-aspl.pfx" -inkey "D:\ssc\ssc\key.key" -in "D:\ssc\ssc\cert.crt" -
如果要在 Linux 上從 cert 和 key 檔案建立 .pfx 檔案,請執行以下命令:
openssl.exe pkcs12 -export -out /tmp/cert/sss-aspl.pfx -inkey /tmp/cert/key.key -in /tmp/cert/cert.crt"
-
- 匯入 Microsoft IIS 的 .pfx 檔案。
安裝 IQ Bot 時,請使用相同的 .pfx 檔案。
- 執行以下命令來匯入 Java 金鑰儲存庫中的憑證:
keytool.exe -import -alias dev -keystore "C:\Program Files (x86)\Java\jre1.8.0_91\lib\security\cacerts" -file "D:\cert\xyz.com.crt"根據 32 位/64 位操作系統的類型,此 C:\Program Files (x86)\Java\jre1.8.0_91\lib\security\cacerts 目錄可能會有所不同。
如果憑證未匯入 Java 金鑰儲存庫中,則 Control Room 會顯示以下錯誤訊息:安全性憑證路徑驗證器簽名檢查失敗。
- 移至 %installation_dir%\Configurations,並以管理員身分執行 stopanduninstallallservices.bat。
- 移至 %installation_dir%\Configurations,並以管理員身分執行 installandstartervices.bat。
- 使用 Microsoft Management Console (MMC) 將 cert.crt 檔案匯入到受信任的根目錄。