证书在线工具
如果您是第一次申请SSL证书,如果您对您的服务器如何使用SSL证书还不熟悉的话,我们推荐您使用本套工具,本套工具支持所有SSL服务器证书格式和各种WEB服务器。帮助您在线生成CSR文件,在线合成PFX、JKS、P7B、KDB 和 PEM文件。如果你安装完证书后,需要检查证书安装是否正常,可以使用我们的SSL证书在线检查器。
证书申请流程
在以上流程中,除了GeoTrust负责鉴证,签发证书部份外,您需要完成2项任务:
• CSR的制作
• 将私钥和CA颁发的数字签名合成服务器所能识别的数字证书格式。(Apache可直接使用私钥key文件和CA颁发的数字签名CRT文件。)
关于如何将SSL.KEY和SSL.CRT导入到Apache请参见:
Apache服务器证书的导入
CSR的生成
以往,CSR的生成主要依赖使用的WEB服务器,各种WEB服务器都有自己生成的CSR生成工具,要掌握不同服务器的CSR生成方法,变得相当的繁琐。
现在您可以通过在线CSR生成器,产生基于X.509标准的证书请求CSR文件和私钥KEY文件(文本格式),请一定要保存好在线工具生成出来的SSL.KEY文件和SSL.CSR文件。如果失去了SSL.KEY文件,证书将无法工作。
使用CSR在线工具的时候请准备好一下信息:
- 域名: 譬如您要给www.myssl.com.cn这个网站申请服务器证书,你需要用www.myssl.com.cn作为域名来申请,证书是颁发给某一台主机的,而不是一个域,所以www.myssl.com.cn与myssl.com.cn是两个不同的域名。
- 单位名称:请输入您申请单位/公司的名称,请用英文或者拼音。
- 部门:请输入您所在部门的名称,请用英文,譬如:IT Department。
- 城市:请输入您所在的城市,请用英文,譬如:Shanghai
- 省份/直辖市:请输入您所在的省或者直辖市,请用英文,譬如:Shanghai
- 国家:国家代码,如果您是中国公司,请保持CN。
GeoTrust通过邮件给您的数字签名也是基于X.509标准的文本格式,将该数字签名保存为SSL.CRT,加上SSL.KEY文件,就是一套完整的
SSL证书文件,可以直接复制到APACHE上使用。如果您的WEB服务器不是APACHE,就需要通过另外两个工具将SSL.KEY+SSL.CRT转
换成相应的文件格式:PFX、JKS和KDB。
PFX转换工具
Microsoft IIS主要使用PFX证书文件格式,传统的办法是通过IIS生成SSL证书请求,然后将CA的数字签名导回IIS,最后可以从IIS得到PFX文件。现在我们可以通过PFX在线转换工具将SSL.KEY和SSL.CRT轻松合并成PFX文件。
使用该工具,请先用NOTEPAD将SSL.KEY和SSL.CRT文件打开,全部复制,然后粘帖到相应的2个文本框,PFX是需要设定一个保护密码的,
设好保护密码后,点击“合称PFX文件”,即可出现一个合并成功的页面,并可从该页面下载PFX文件。
请确保SSL.KEY和SSL.CRT是相互匹配的,并且SSL.CRT是经过GeoTrust或RapidSSL签发的数字签名,否则将无法正确合并。
关于如何将PFX导入到IIS Server请参见:IIS服务器证书的导入
JKS转换工具
Tomcat、JBOSS、WEBLOGIC等使用JAVA的WEB
SERVER主要使用JKS(Java
Keystore)证书文件格式,传统制作JKS的方法是通过KEYTOOL工具创建JKS,然后生成密钥对和CSR文件,最后将CA的数字签名导回
JKS。现在我们可以通过JKS在线转换工具将SSL.KEY和SSL.CRT轻松合并成JKS文件。
使用该工具,请先用NOTEPAD将SSL.KEY和SSL.CRT文件打开,全部复制,然后粘帖到相应的2个文本框,JKS需要设定一个密码保护,同时
还需要设定一个别名,因为JKS(Java
Keystore)是一个密钥对数据库,可以存放多个密钥对,所以要对导入的这个证书(密钥对)在JKS内设定一个别名,以作标识。点击“合成JKS文
件”,即可出现一个合并成功的页面,并可从该页面下载JKS文件。
请确保SSL.KEY和SSL.CRT是相互匹配的,并且SSL.CRT是经过GeoTrust或RapidSSL签发的数字签名,否则将无法正确合并。
关于如何将JKS导入到Tomcat请参见:TOMCAT服务器证书的导入
KDB转换工具
IBM HTTP SERVER使用的是IBM公司开发的KDB文件格式(CMS密钥数据库文件),传统制作KDB的方法非常麻烦,必须使用IBM专用的IKEYMAN工具,而且要在IBM的JRE环境下,还必须在IBM的电脑上才能安装IBM的JRE。现在我们可以通过KDB在线转换工具将SSL.KEY和SSL.CRT轻松合并成KDB文件。
使用该工具,请先用NOTEPAD将SSL.KEY和SSL.CRT文件打开,全部复制,然后粘帖到相应的2个文本框,KDB需要设定一个密码保护,同时
还需要设定一个标签,KDB文件非常类似于Java的Keystore文件,也可以存放多个密钥对,所以要对导入的这个证书(密钥对)在KDB内设定一个
标签(类似JKS里的别名),以作标识。点击“合成KDB文件”,即可出现一个合并成功的页面,并可从该页面下载KDB文件和STH文件。(如果需要用
iKeyman等工具编辑查看这个KDB,请同时下载另外2个CRL和RDB文件,并和KDB文件放在同一目录下,如果仅为了配置服务器,只需要KDB文
件和STH文件即可,STH文件是存储密码的文件)
请确保SSL.KEY和SSL.CRT是相互匹配的,并且SSL.CRT是经过GeoTrust或RapidSSL签发的数字签名,否则将无法正确合并。
关于如何将KDB导入到IBM HTTP Server请参见:
IBM HTTP SERVER服务器证书的导入
P7B工具
P7B(PKCS7文件格式)格式支持在文件中携带所有的签名证书,如果CSR文件是通过IIS向导生成的,就需要先将证书转换为P7B文件,然后继续执行IIS向导,导入证书和所有的中间链证书。
P7B在线合成工具SSL.CRT轻松合并成P7B文件。
使用该工具,请先用NOTEPAD将SSL.CRT文件打开,全部复制,或者将收到的证书邮件中的证书内容(包含-----BEGIN
CERTIFICATE-----和-----END
CERTIFICATE-----)全部复制,然后粘帖到文本框。点击“合成P7B文件”,即可出现一个合并成功的页面,并可从该页面下载P7B文件。
PEM转换工具
PEM(Privacy Enhanced
Mail,增强型私人邮件)格式现在更多地用作密钥格式,并且可以包含私钥(RSA和DSA)、公钥(RSA和DSA)和x509证书。它存储ASCII
头部包装的Base64编码DER格式的数据,所以它适用于系统之间的文本模式传输。
PEM中的私钥部分,可以选择加密,本工具主要转换对私钥加密的PEM文件。通过
PEM在线转换工具将SSL.KEY和SSL.CRT轻松合并成PEM文件。
使用该工具,请先用NOTEPAD将SSL.KEY和SSL.CRT文件打开,全部复制,然后粘帖到相应的2个文本框,PEM需要设定一个密码保护。点击“合成PEM文件”,即可出现一个合并成功的页面,并可从该页面下载PEM文件。
请确保SSL.KEY和SSL.CRT是相互匹配的,并且SSL.CRT是经过GeoTrust或RapidSSL签发的数字签名,否则将无法正确合并。
http://www.myssl.cn/guide/openssl.asp
https://www.chinassl.net/
https://www.chinassl.net/ssltools/