如何在没有 CSR 的情况下在 Tomcat 中安装 GoDaddy SSL 证书？

Question

我们的一位客户购买了通配符 SSL 证书 (*.example.com) 来自 GoDaddy，他只是下载而没有提供 CSR 数据。我们在那个 zip 文件中有 3 个文件。它们是fce4f111a61ea3f4.crt、gd_bundle-g2-g1.crt 和gdig2.crt.pem。

我搜索了很多关于此的文章，但每个人都说首先从您的服务器获取 CSR 数据并将其传递到 GoDaddy 以获取 SSL 证书。

在我的例子中，我们没有向 GoDaddy 提供 CSR 数据，这意味着我没有密钥库文件。

现在，我尝试将没有密钥库的证书安装到我的服务器。为此，我使用了以下命令但没有成功：

keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file fce4f111a61ea3f4.crt

keytool -import -alias interm -keystore tomcat.keystore -trustcacerts -file gd_bundle-g2-g1.crt

keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file gdig2.crt.pem

Answer 1

我假设您已经按照上面的陈述维护了密钥库。首先备份您的密钥库以避免任何意外。

除了您拥有的文件之外，您还应该拥有生成的证书的私钥。

现在按照命令进行操作。

1. 首先从密钥库文件中删除所有现有条目。

keytool -delete -alias tomcat -keystore domain.jks

您也可以通过keytool -list -keystore domain.jks 来查看任何其他现有条目也可以删除它们。

1. 现在将证书和私钥导出到 PKCS12 文件中

openssl pkcs12 -export -in fce4f111a61ea3f4.crt -inkey private.key -out cert_and_key.p12 -name tomcat -CAfile gd_bundle-g2-g1.crt -caname root

如果您收到类似以下错误

unable to load private key
139995851216720:error:0906D06C:PEM routines:PEM_read_bio:no start line:pem_lib.c:707:Expecting: ANY PRIVATE KEY

这意味着您的private.key 格式不正确，您需要将编码更改为ASCII text 运行以下命令来转换您的私钥

# You can do a dry run before manipulating the actual file
tail -c +4 private.key | file -

# Change encoding
tail -c +4 private.key > private.key

1. 将 PKCS12 文件导入 JKS 密钥库：

keytool -importkeystore -srckeystore cert_and_key.p12 -srcstoretype PKCS12 -alias tomcat -keystore domain.jks

4. 现在将根证书导入 JKS 密钥库（使用根别名）

keytool -import -trustcacerts -alias root -file $certdir/gd_bundle-g2-g1.crt -noprompt -keystore domain.jks

5. 在server.xml中添加关注

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150"
    SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS"
    keystoreFile="/path/to/keysore/domain.jks" keystorePass="xxxxxx"
    ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
    TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,
    TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA, SSL_RSA_WITH_RC4_128_SHA" />

不要忘记将 xxxxxx 替换为您的 JKS 密钥库密码和 keystoreFile 参数

6. 完成。现在重新启动您的 Tomcat 服务器 并收听您的日志文件

sudo service tomcat7 restart
sudo tail -f /var/log/tomcat7/catalina.out

注意：将 domain.jks 替换为您的实际密钥库文件。

Answer 2

按照此处和其他地方的信息，这在 Windows 上的 TC9 上对我有用：

1. 确保路径有一个 Java Home：

   设置 PATH=%PATH%;C:\Program Files\Java\jre1.8.0_281\bin

2. 创建密钥库：

   keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore mydomain.jks

3. 提取.csr：

   keytool -certreq -alias server -file C:\pathtoit\csr.txt -keystore mydomain.jks

4. 将csr.txt交给godaddy并获取证书

5. 导入包和 .crt 文件：

   keytool -import -trustcacerts -alias middle -file gd_bundle-g2-g1.crt -keystore mydomain.jks

   keytool -import -alias server -keystore mydomain.jks -trustcacerts -file 24234234.crt

注意：如果您想查看发生了什么，请使用 Keystore Explorer。

然后在server.xml中：

<Connector port="443" maxHttpHeaderSize="8192" maxThreads="100"
  minSpareThreads="25" maxSpareThreads="75"
  enableLookups="false" disableUploadTimeout="true"
  acceptCount="100" scheme="https" secure="true"
  SSLEnabled="true" clientAuth="false"
  sslProtocol="TLS" keyAlias="server"
  keystoreFile="C:\pathtoit\mydomain.jks" keystorePass="xxxx"  />