前提條件

• “證書狀態”為 “已簽發”。

• 已下載SSL證書，具體操作請參見下載證書。

約束條件

• 證書安裝前，務必在安裝SSL證書的服務器上開啟 “443”端口，同時在組增加 “443”端口，避免安裝後仍然無法啟用HTTPS。
• 如果一個域名有多個服務器，則每一個服務器上都要部署。
• 待安裝證書的服務器上需要運行的域名，必須與證書的域名一一對應，即購買的是哪個域名的證書，則用於哪個域名。否則安裝部署後，瀏覽器將提示不。

操作步驟

在Resin服務器上安裝SSL證書的流程如下所示：

①獲取文件 → ②配置Resin → ③效果驗證

步驟一：獲取文件

安裝證書前，需要獲取證書文件和密碼文件，請根據申請證書時選擇的 “證書請求文件”生成方式來選擇操作步驟：

• 如果申請證書時， “證書請求文件”選擇 “係統生成CSR”。
• 如果申請證書時， “證書請求文件”選擇 “自己生成CSR”。

具體操作如下：

• 係統生成CSR
  1. 在本地解壓已下載的證書文件。
     下載的文件包含了 “Apache”、 “IIS”、 “Nginx”、 “Tomcat”4個文件夾和1個 “domain.csr”文件，如圖1所示。

     圖1本地解壓SSL證書
     
  2. 從 “ 證書ID_ 證書綁定的域名_Tomcat”文件夾內獲得證書文件 “ 證書ID_ 證書綁定的域名_server.jks”和密碼文件 “ 證書ID_ 證書綁定的域名_keystorePass.txt”。
     須知：

     密碼文件 “keystorePass.txt”中的密碼為服務默認生成的初始密碼，為了您的係統，建議您及時修改該密碼。轉換證書格式時可修改密碼

• 申請證書時，如果 “證書請求文件”選擇 “自己生成CSR”，請參考以下步驟進行配置。
  1. 解壓已下載的證書壓縮包，獲得 “ 證書ID_ 證書綁定的域名_server.pem”文件。

     “ 證書ID_ 證書綁定的域名_server.pem”文件包括兩段證書代碼 “-----BEGIN CERTIFICATE-----”和 “-----END CERTIFICATE-----”，分別為服務器證書和中級CA證書。

  2. 使用OpenSSL工具，將pem格式證書轉換為PFX格式證書，得到 “server.pfx”文件。
     1. “pem”文件和生成CSR時的私鑰 “server.key”放在OpenSSL工具安裝目錄的bin目錄下。
     2. 在OpenSSL工具安裝目錄的bin目錄下，執行以下命令將pem格式證書轉換為PFX格式證書，按“Enter”。

        openssl pkcs12 -export -out server.pfx -inkey server.key -in 證書ID_ 證書綁定的域名_ server.pem

        回顯信息如下：

        Enter Export Password:

     3. 輸入PFX證書密碼，按“Enter”。

        此處輸入的密碼為用戶自定義密碼，請根據自己的需求進行設置並輸入密碼。

        回顯信息如下：

        Verifying - Enter Export Password:

        說明：

        請牢記此處輸入的PFX證書密碼。後續設置JKS密碼需要與此處設置的PFX密碼保持一致，否則可能會導致Resin啟動失敗。

        為提高用戶密碼性，建議按以下複雜度要求設置密碼：

        • 密碼長度為8～32個字符。
        • 少需要包含大寫字母、小寫字母、數字、空格、特殊字符~`!@#$%^&*()_+|{}:"<>?-=\[];',./中的3種類型字符。
     4. 再次輸入PFX證書密碼，按“Enter”。

        當係統沒有回顯任何錯誤信息，表示已在OpenSSL工具安裝目錄下成功生成 “server.pfx”文件。

  3. 使用Keytool工具，將PFX格式證書文件轉換成JKS格式，得到 “server.jks”文件。
     1. 將 2中生成的 “server.pfx”文件拷貝到 “%J**A_HOME%/jdk/bin”目錄下。
     2. 在 “%J**A_HOME%/jdk/bin”目錄下，執行以下命令，按“Enter”。

        keytool -importkeystore -srckeystore server.pfx -destkeystore server.jks -srcstoretype PKCS12 -deststoretype JKS

        回顯信息如下：

        輸入目標密鑰庫口令：

     3. 輸入JKS證書密碼，按“Enter”。
        須知：

        請將JKS密碼設置為與PFX證書密碼相同的密碼，否則可能會導致Resin啟動失敗。

        回顯信息如下：

        再次輸入新口令：

     4. 再次輸入JKS證書密碼，按“Enter”。

        回顯信息如下：

        輸入源密鑰庫口令：

     5. 輸入 2.c中設置PFX證書密碼，按“Enter”。

        回顯類似如下信息時，則表示轉換成功，已在OpenSSL工具安裝目錄下成功生成 “server.jks”文件。

        已成功導入別名
                            1的條目。 已完成導入命令：1個條目成功導入，0個條目失敗或取消

     6. 在 “%J**A_HOME%/jdk/bin”目錄下新建一個 “keystorePass.txt”文件，將JKS的密碼保存在該文件中。
  4. 將轉換後的證書文件 “server.jks”和新建的密碼文件 “keystorePass.txt”放在同一目錄下。

步驟二：配置Resin

1. （可選）安裝Resin。
   如果已安裝，則請跳過該步驟。

   1. 登錄Resin官網並根據您的係統下載不同的應用程序包。

      本步驟以下載 Windows版本的 Resin-4.0.38版本為例進行說明。

   2. 解壓下載的Resin包。
   3. 進入Resin-4.0.38根目錄並找到resin.exe文件。
   4. 運行resin.exe文件，運行期間將出現如圖2所示的命令提示符窗口。
      圖2提示窗口
      
   5. 運行完成後，啟動瀏覽器，在Web地址欄中輸入Resin默認地址 “http://127.0.0.1:8080”，並按 “Enter”。

      當界麵顯示如圖3所示時，則表示安裝成功。

      圖3登錄Resin
      
2. 修改配置文件。
   1. 在Resin安裝目錄下的 “Resin.properties”配置文件（由於Resin版本的不同，配置文件也可能為 “resin.xml”文件）中，找到如下參數：

      # specifies the --server in the config file 
                    # home_server : app-0 
                    # Set HTTP and HTTPS bind address 
                    # http_address : * 
                    # Set HTTP and HTTPS ports. 
                    # Use overrides for individual server control, 
                    for example: app-0.http : 8081 
                    app.http : 8080 
                    # app.https : 8443 web.http : 8080 
                    # web.https : 8443

   2. 將 “app.https”和 “web.https”前的注釋符 “#”去掉，並將 “8443端”口修改為 “443”。修改後，如下所示：
      “app.https”、 “web.https”：**服務器要使用的端口號，建議配置為 “443”。

      # specifies the --server in the config file 
                      # home_server : app-0 
                      # Set HTTP and HTTPS bind address 
                      # http_address : * 
                      # Set HTTP and HTTPS ports. 
                      # Use overrides for individual server control, for example: app-0.http : 8081 
                      app.http : 8080 
                      app.https : 443 
                      web.http : 8080 
                      web.https : 443

   3. 找到如下參數，並將 “jsse_keystore_tye”、 “jsse_keystore_file”和 “jsse_keystore_password”三行前的注釋符 “#”去掉。

      # JSSE certificate configuration # Keys are typically stored in the resin configuration directory. jsse_keystore_tye : jks jsse_keystore_file :
                      cert/server.jksjsse_keystore_password :
                      證書密碼

   4. 修改證書相關配置參數，具體配置請參見 表1。

      # JSSE certificate configuration 
                    # Keys are typically stored in the resin configuration directory. 
                    jsse_keystore_tye : jks 
                    jsse_keystore_file :cert/server.jks
                    jsse_keystore_password :證書密碼

      表1參數說明

      參數	參數說明
      jsse_keystore_tye	設定Keystore文件的類型，一般都設為 jks
      jsse_keystore_file	“server.jks”文件存放路徑，路徑和相對路徑均可。示例：cert/server.jks
      jsse_keystore_password	“server.jks”的密碼。填寫 “keystorePass.txt”文件內的密碼。 須知： 如果密碼中包含 “&”，請將其替換成 “&”，以免配置不成功。 示例： 如果keystorePass="Ix6 &APWgcHf72DMu"，則修改為keystorePass="Ix6 &APWgcHf72DMu"。

   5. 修改完成後保存配置文件。
3. 重啟Resin。

效果驗證

部署成功後，可在瀏覽器的地址欄中輸入 “http://域名”，按 “Enter”。

如果瀏覽器地址欄顯示鎖標識，則說明證書安裝成功。