事情是這樣的....
客戶來信說網頁要加入TWCA認證
要求我提供CSR
並且貼心的附上連結 http://www.twca.com.tw/portal/service/ssl_1_3.html
連結直接跳過書面申請與審核的部分
從第三步驟CSR開始
也就是說我只要提供CSR給他們,剩下的她們會去處理
沒錯!! 事實上就是這樣而已
但是自作聰明的我,把所有流程看了一遍
覺得申請甚麼的這明明就是你家的事,干我屁事......
來回弄了一番,還詢問過有經驗的相關人員,發現我真是誤會大了
(對方一定覺得好心被當驢肝肺了.....)
身為工程師的我卻時是要提供CSR給他們,才能讓客戶進行後續
而審核通過後取得頻證,我還得在把憑證安裝到網頁上去
因此我的工作就是所有流程的Setp3與Setp6
(PS.下圖示我自己改的,在官網上是按不出這個狀況的)
我使用java的keytool工具來產生,步驟如下
1.以系統管理者身分開啟字元命令提示
2.產生key
keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -keystore C:\keystore\xxxxx.jks -storepass xxxxxxxx -keypass xxxxxxxx記得紅色別名(tomcat),之後安裝憑證會用到
其中 C:\keystore\xxxxx.jks 可以指定絕對路徑,若不指定則產生在keytool的資料夾下
然後請依照客戶提供的訊息輸入(如果客戶不知道,問他)
我在這次就為了客戶提供的單字少給一個s又重新產生....
此時便會發現 C:\keystore\下有個xxxxx.jks
3.產生CSR
keytool -certreq -alias tomcat -file C:\keystore\xxxxx.csr -keystore C:\keystore\xxxxx.jks -storepass xxxxxxxx -keypass xxxxxxxx一樣產生在C:\keystore\有個xxxxx.csr
以記事本打開來看就像這樣
這就是要提供給客戶的CSR內容
接著就是等待申請通過後
客戶會給一個壓縮檔
裡面有四個檔案root.cer, xxxx.cer, uca_1.cer, uca_2.cer
其中xxxx.cer的檔名是依提供的csr來的
其他三個檔名都是固定的
然後就是step6安裝憑證
依照下列四個步驟逐步安裝四個cer
4.安裝憑證
安裝憑證,依照下列四個步驟逐步安裝四個cer
輸入後會先詢問密碼,然後確認是否信任憑證
輸入密碼後,按Y Enter
輸入後會先詢問密碼,然後確認是否信任憑證
輸入密碼後,按Y Enter
keytool -import -trustcacerts -alias GTERoot -file C:\keystore\root.cer -keystore C:\keystore\xxxxx.jks keytool -import -trustcacerts -alias TWCA1 -file C:\keystore\uca_1.cer -keystore C:\keystore\xxxxx.jks
keytool -import -trustcacerts -alias TWCA2 -file C:\keystore\uca_2.cer -keystore C:\keystore\xxxxx.jks
keytool -import -trustcacerts -alias tomcat -file C:\keystore\xxxx.cer -keystore C:\keystore\xxxxx.jks
其中第四個xxxx.cer,-alias要注意的是別名要跟上面一樣,此例別名為tomcat
沒有留言:
張貼留言