使用主體替代名稱建立自我簽署憑證
當您想要針對多個網域使用 SSL 憑證時,請建立具有主體替代名稱 (SAN) 的自我簽署憑證。
- 創建名 爲 domain.cnf 的文件 ,並根據需要添加以下配置:
[ 要求 ]
default_bits = 2048
提示 = 否
Default_MD = sha256
X509_extensions= v3_req
distinguished 名稱 = dn
[DN]
C = ES
ST = MyState
L = MyCity
O = 我的組織
電子郵件地址 = email@mydomain.com (任何電子郵件地址)
cn = sss-laptop136.aaspl-brd.com ( CR FQDN URL 名稱)
[v3_req]
subjectAltName = @alt_names
[alt_names]
DNS.1 = sss-laptop136.aaspl-brd.com ( CR FQDN URL 名稱)
DNS.2 = sss-laptop151.aaspl-brd.com ( IQBOT URL FQDN 名稱)
- 下載 Openssl 公用程式。
- 在 Microsoft Windows 或 Linux 上創建證書:
- 運行以下命令在 Microsoft Windows 上創建證書:
openssl.exe req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout "D:\ssc\ssc\key.key" -days 3560 -out "D:\ssc\ssc\cert.crt" -config "D:\ssc\ssc\domain.cnf"
-
執行以下命令在 Linux 上建立憑證:
openssl req -new -x509 -newkey rsa:2048 -sha256 -nodes -keyout /tmp/cert/key.key -days 3560 -out /tmp/cert/cert.crt -config /tmp/cert/domain.cnf
- 運行以下命令在 Microsoft Windows 上創建證書:
- 從 cert 和 key 文件創建 .pfx 文件:
-
運行以下命令, 從 Microsoft Windows 上的證書和密鑰文件創建 .pfx 文件:
openssl.exe pkcs12 -export -out "D:\ssc\ssc\sss-aspl.pfx" -inkey "D:\ssc\ssc\key.key" -in "D:\ssc\ssc\cert.crt"
-
運行以下命令,在 Linux 上從 cert 和 key 文件創建 .pfx 文件:
openssl.exe pkcs12 -export -out /tmp/cert/sss-aspl.pfx -inkey /tmp/cert/key.key -in /tmp/cert/cert.crt"
-
- 在中導入 .pfx 文件 Microsoft IIS。
在安裝 IQ Bot時使用相同的 .pfx 文件。
- 執行以下命令來匯入 Java 金鑰儲存庫中的憑證:
keytool.exe -import -alias dev -keystore "C:\Program Files (x86)\Java\jre1.8.0_91\lib\security\cacerts" -file "D:\cert\xyz.com.crt"
基於 在 32 位元 / 64 位元作業系統的類型上 , 此 C:\Program 文件 (x86)\java\jre1.8.0_91\lib\security\cacerts 目錄 可能會有所不同。
如果證書未導入 Java 密鑰庫中, Control Room 則會顯示以下錯誤消息:Java 安全證書路徑驗證器簽名檢查失敗。
- 轉至 %installation_dir%\Configurations 並 以管理員身份運行 stopanduninstallallservices.bat 。
- 轉至 %installation_dir%\Configurations 並 以管理員身份運行 installandstartervices.bat 。
- 使用 Microsoft 管理控制檯 (MMC) 將 cert.crt 文件導入可信根目錄。