2015年11月23日 星期一

TWCA申請與憑證安裝(keytool)

這一篇文章是用來證明我是一個不合格的工程師'

事情是這樣的....

客戶來信說網頁要加入TWCA認證

要求我提供CSR



並且貼心的附上連結 http://www.twca.com.tw/portal/service/ssl_1_3.html

連結直接跳過書面申請與審核的部分

從第三步驟CSR開始

也就是說我只要提供CSR給他們,剩下的她們會去處理

沒錯!!  事實上就是這樣而已

但是自作聰明的我,把所有流程看了一遍

覺得申請甚麼的這明明就是你家的事,干我屁事......

來回弄了一番,還詢問過有經驗的相關人員,發現我真是誤會大了

(對方一定覺得好心被當驢肝肺了.....)

身為工程師的我卻時是要提供CSR給他們,才能讓客戶進行後續

而審核通過後取得頻證,我還得在把憑證安裝到網頁上去

因此我的工作就是所有流程的Setp3與Setp6

(PS.下圖示我自己改的,在官網上是按不出這個狀況的)

因此本篇文章內容就是如何產生金鑰安裝憑證

我使用java的keytool工具來產生,步驟如下

1.以系統管理者身分開啟字元命令提示



2.產生key 

keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -keystore C:\keystore\xxxxx.jks -storepass xxxxxxxx -keypass xxxxxxxx

記得紅色別名(tomcat),之後安裝憑證會用到



其中  C:\keystore\xxxxx.jks  可以指定絕對路徑,若不指定則產生在keytool的資料夾下

然後請依照客戶提供的訊息輸入(如果客戶不知道,問他)

我在這次就為了客戶提供的單字少給一個s又重新產生....

此時便會發現 C:\keystore\下有個xxxxx.jks



3.產生CSR

keytool -certreq -alias tomcat -file C:\keystore\xxxxx.csr -keystore C:\keystore\xxxxx.jks -storepass xxxxxxxx -keypass xxxxxxxx 

一樣產生在C:\keystore\有個xxxxx.csr

以記事本打開來看就像這樣



這就是要提供給客戶的CSR內容

接著就是等待申請通過後

客戶會給一個壓縮檔

裡面有四個檔案root.cer, xxxx.cer, uca_1.cer, uca_2.cer

其中xxxx.cer的檔名是依提供的csr來的

其他三個檔名都是固定的

然後就是step6安裝憑證

依照下列四個步驟逐步安裝四個cer


4.安裝憑證

安裝憑證,依照下列四個步驟逐步安裝四個cer
輸入後會先詢問密碼,然後確認是否信任憑證
輸入密碼後,按Y Enter

keytool -import -trustcacerts -alias GTERoot -file C:\keystore\root.cer -keystore C:\keystore\xxxxx.jks 

keytool -import -trustcacerts -alias TWCA1 -file C:\keystore\uca_1.cer -keystore C:\keystore\xxxxx.jks 

keytool -import -trustcacerts -alias TWCA2 -file C:\keystore\uca_2.cer -keystore C:\keystore\xxxxx.jks 

keytool -import -trustcacerts -alias tomcat -file C:\keystore\xxxx.cer -keystore C:\keystore\xxxxx.jks 

其中第四個xxxx.cer,-alias要注意的是別名要跟上面一樣,此例別名為tomcat

沒有留言:

張貼留言