服务器证书安装配置指南
中国工商银行银企互联企业服务器安装手册
版本号:1. 0中国工商银行银企互联企业服务器安装手册中国工商银行北京软件研发部2005年02月目录前言中国工商银行银企互联企业服务器是架设在企业端的一台Windows 2000平台的服务器,它将银行服务直接延伸到企业,为企业提供更优质的服务。
该服务器上安装有工商银行为银企互联应用专门委托开发的软件NetSafe Client for NT,简称NC。
通过这个服务器,企业可以方便地同工商银行网上银行对接,实现财务业务与银行业务的无缝继承。
该手册将给出基于NetSafe Client的银企互联系统网络配置建议,并说明NetSafe Client的安装以及相关的操作指南。
此版本支持磁盘证书和符合PKCS11标准的硬件设备(如加密机、加密卡、IC卡等)。
使用对象NetSafe for NT软件授权使用者。
如何使用本手册会使用WINDOWS操作系统,熟悉Web及网络安全的基础知识,熟悉常用代理服务器的使用,掌握签名及验签名的基本原理,了解PKCS的相关知识。
网络配置建议由于进行银企互联业务的企业服务器中配置有企业的证书,并且交易请求数据都将通过它发向银行,所以它的安全性应该引起充分的重视,必须对此服务器进行妥善的保护,建议网络如下图进行配置。
网络建议图一建议单独设立银企互联服务器,并且与企业的财务服务器用网络直连线连接组成一个小型专网。
在企业财务服务器上不能设置企业内网到银企互联服务器的路由,以防止不法数据包发给银企互联服务器。
另外,建议对银企互联服务器的操作需要专人负责,并对服务器进行物理隔离,杜绝无关人员的非法操作。
如果为了节省成本,将银企互联服务器和企业财务服务器安装到一起,则需要采用防火墙等安全设备限制财务应用以外的机器访问该服务器,如下图所示。
网络建议图二软件安装与配置安装NetSafe Client点击软件介质中的安装程序,即可开始进行Netsafe Client的安装,按照安装提示一步一步即可完成,非常方便。
SSL证书配置指南
SSL证书配置指南在互联网发展的今天,网络安全问题越来越受到重视。
为了保障网站的安全性和用户的信任度,越来越多的网站开始使用SSL证书来加密数据传输和保护用户隐私。
本文将为您提供一份简明的SSL证书配置指南,帮助您正确地配置SSL证书,确保网站的安全性。
一、SSL证书简介SSL证书(Secure Sockets Layer Certificate)是一种由可信任的证书颁发机构(Certificate Authority)认证的数字证书,用于验证网站的身份并加密数据传输。
通过使用SSL证书,可以建立起网站与用户之间安全、加密的传输通道,防止敏感信息被窃取或篡改。
二、SSL证书购买与申请1.选择可信赖的证书颁发机构(CA),如Symantec、Comodo或Let's Encrypt。
2.根据您的需求选择证书类型,常见的有域名验证型(DV)、组织验证型(OV)和增强验证型(EV)。
3.填写并提交证书申请表格,提供所需的域名和相关信息。
4.完成验证流程,可以通过电子邮件验证、DNS记录验证或文件验证等方式获得证书。
三、SSL证书安装与配置1.根据您所使用的服务器类型,选择相应的安装和配置方法。
- Apache服务器:将证书文件和私钥文件上传到服务器,并在配置文件中指定证书路径和端口。
- Nginx服务器:将证书文件和私钥文件上传到服务器,并在配置文件中指定证书路径和端口。
- Microsoft IIS服务器:使用IIS管理工具导入证书,配置绑定和服务端口。
2.配置HTTPS强制跳转,将HTTP请求自动重定向到HTTPS。
3.配置SSL/TLS协议版本,建议只允许使用TLS 1.2及以上版本,禁用过时的SSL 2.0和SSL 3.0。
4.启用HTTP严格传输安全(HSTS),通过响应头信息告知浏览器使用HTTPS进行访问。
5.更新您的网站代码和资源,确保网站内部链接和外部资源链接使用HTTPS。
WebSphere6.1 服务器证书安装指南
WebSphere6.1 服务器证书安装指南1. 环境变量配置以下安装必须是已安装Websphere及JDK后进行。
Websphere安装界面如下:点击Websphere Application Server 试用版安装,然后按照向导指示进行安装。
设置JDK环境变量:我的电脑—〉属性—〉高级—〉环境变量在变量值处加入:D:\Program Files\IBM\WebSphere\AppServer\java\jre\bin路径(即Websphere的安装路径\AppServer\java\jre\bin)。
2.服务器证书和信任证书从专门的管理机构取得两个jks文件(路径可自选,只要在配置时指定存放的路径即可)另外再加一个middleobject.jar(举例放在D:\IBM\WebSphere\AppServer\lib下)3 在websphere中修改ssl配置如下图所示,点击进入管理控制台你将看到如下画面,输入用户标识点击安全性中的SSL证书和密钥管理这里选择修改默认的密钥库和证书。
新建:名称自己定义,路径就是你先前所放文件的路径,密码随证书文件一起有,新建两个,一个是gongyao.jks (信任文件),一个是siyao.jks(是密钥文件),完成后即可保存。
再点击“SSL证书和密钥管理“的相关项的“SSL配置”再点默认的名称进入上图中的信任库名和密钥库名,自己选择对应的文件,再“获取证书别名”,最后“确定”保存即可。
点击上图中的“保护质量(QoP)设置:如下图所示确定保存。
重启websphere服务器. 测试配置打开IE,在地址栏中敲入:https://IP:9443/应用目录,如果出现数字证书窗口,则表示正常。
配置好EOS项目后,pki入口地址:…/auth/pkilogin.jsp。
windows server 2012+IIS8.0安装配置ssl证书方法
windows server 2012+IIS8.0安装配置ssl证书方法(温馨提示:安装ssl证书前请先备份您需要修改的服务器配置文件)1.1 ssl证书安装环境简介安装windows server 2012 IIS8.0操作系统服务器一台;web站点一个;SSL证书一张(备注:本指南使用域名OV SSL证书进行操作)1.2 网络环境要求请确保站点是一个合法的外网可以访问的域名地址,可以正常通过或进行正常访问。
2.1 获取ssl证书成功在沃通CA申请SSL证书后,会得到一个有密码的压缩包文件,输入证书密码后解压得到五个文件:for Apache、for IIS、for Ngnix、for Other Server,这个是证书的几种格式,解压for IIS压缩包,会得到一个.pfx格式的证书,IIS8.0上需要用到pfx格式的证书。
2.2 导入ssl证书开始-〉运行-〉MMC,启动控制台程序->选择菜单“文件-〉添加/删除管理单元”->列表中选择“证书”->点击“添加”->选择“计算机帐户” ->点击完成。
在控制台的左侧显示证书树形列表,选择“个人”- “证书”,右键单击,选择“所有任务-〉导入”,根据“证书导入向导”的提示,将.pfx格式文件导入,注意导入过程选择“根据证书内容自动选择存储区”。
(注意导入过程中需要输入密码)导入成功后,刷新,可以看到如下图所示的证书信息图:2.3 分配服务器证书打开IIS8.0管理器面板,找到待部署证书的站点,点击“绑定”如图3选择“绑定”->“添加”->“类型选择https” ->“端口443” ->“ssl证书【导入的证书名称】” ->“确定”,SSL缺省端口为443端口,(请不要随便修改。
如果您使用其他端口如:8443,则访问时必须输入:https://:8443)。
如下图:2.4 测试是否安装成功重启IIS8.0服务,在浏览器地址栏输入:https:// (申请证书的域名)测试您的ssl证书是否安装成功,如果成功,则浏览器下方会显示一个安全锁标志。
IPS证书安装指南
迅付信息科技有限公司IPS证书安装指南本安装指南以在192.168.100.102安装证书为例。
一、安装中级CA证书、1. 安装服务器证书中级CA证书点击开始菜单,在“运行”中输入“mmc”,打开控制台窗口。
点击“文件>添加删除管理单元”选择“证书”,然后点击“添加”:选择“计算机帐户”>“本地计算机”在添加的证书管理单元中,选择“证书”》“中级证书颁发机构”》“证书”空白处右键点“所有任务”》“导入”,将两张中级CA证书intermediate1.cer 和intermediate2.cer分别导入。
2. 删除一张服务端(EV)根证书选择“证书”》“受信任的根证书颁发机构”》“证书”查找名称为“VeriSign Class 3 Public Primary Certification Authority - G5”有效期 2006-11-8 到 2036-7-17的证书,删除该证书。
二、安装服务器证书证书》个人》证书,右击导入服务器证书,本例为:ips-2011-verisign.pfx2. 进入IIS控制台进入IIS控制台,并选中需要配置服务器证书的站点,“属性”》“目录安全性”选择“从.pxf导入证书”选中服务器证书文件输入证书密码:配置默认的https访问端口443,重启IIS并使用https方式访问测试站点证书安装。
三、证书是否安装检测方法。
1、使用portecle工具运行run.bat,打开portecle工具Examine>>>Examine SSL/TLS Connection输入检测的IP地址及端口号,OK:弹出的窗口若提示有3张证书,则表示证书成功安装。
2、网址检测:进入:https:///support/ssl-certificates-support/index?page=conten t&id=AR1130点击Test this Web Server测试证书是否成功安装。
cisco 身份服务引擎 许可证 指南说明书
许可•思科ISE许可证,第1页•思科ISE智能许可证,第2页•管理传统许可证文件,第7页思科ISE许可证Cisco ISE许可提供两种管您的许可证的选项:•智能许可:使用单个令牌注册便于您轻松高效地监控ISE软件许可证和终端许可证使用情况。
您购买的许可证被维护在名为Cisco智能软件管理器(CSSM)的集中式数据库中。
有关智能许可的详细信息,请参阅思科ISE智能许可证,第2页。
•传统许可:根据您的需求购买和导入单个许可证,然后管理应用功能和访问权限(例如可以使用Cisco ISE网络资源的并发终端数量)。
有关传统许可的详细信息,请参阅管理传统许可证文件,第7页。
为了最大限度地节省客户的经济成本,在思科ISE中采用了不同的许可包(如Base、Plus、Apex和适用于传统与智能许可选项的Device Administration)提供许可。
有关传统思科许可模型的详细信息,请参阅思科ISE许可模型,第8页。
安装或升级Cisco ISE产品后,默认情况下会使用传统许可,并为所有许可证组件激活90天试用期。
切换到智能许可后,在您注册令牌之前,此智能许可评估期保持活动状态,该评估期将所有ISE许可证作为其部分纳入其中。
在评估期间,使用量不会向CSSM报告。
在下列情形中应更新您安装的许可证(适用于传统许可)或许可证协议(适用于智能许可):•试用期结束,而您尚未安装或注册您的许可证。
•您的许可证已过期。
•如果终端使用量超过您的许可协议。
Cisco ISE会提前90、60和30天通知您许可证到期或消耗量问题。
您可以从屏幕上方的许可证警告图标查看和跟踪每个许可的详细信息。
从一种许可包升级到另一种更复杂的许可包时,Cisco ISE将继续提供较早许可包升级之前可用的所有功能,无需重新配置您已配置的任何设置。
ISE社区资源思科身份服务引擎订购指南有关如何获取评估许可证的信息,请参阅如何获取ISE评估许可证。
思科ISE智能许可证思科提供智能许可,可以让您监控思科ISE软件许可证和终端许可证的使用情况。
WindowsCA_证书服务器配置
WindowsCA_证书服务器配置Windows CA证书服务器配置指南一、引言Windows CA(Certificate Authority)是一种权威的证书颁发机构,负责为组织内部或互联网上的计算机、用户或设备颁发数字证书。
数字证书是一种用于验证实体身份的电子文档,可用于确保通信的安全性和完整性。
本文将详细介绍Windows CA证书服务器的配置方法,帮助您完成证书颁发的整个流程。
二、配置步骤1、安装证书服务在Windows服务器上安装证书服务,可以打开“服务器管理器”,然后从“角色”页面选择“添加角色”。
在“角色”对话框中,选择“证书”,然后按照向导完成安装。
2、创建根CA在安装完证书服务后,需要创建一个根CA。
在“服务器管理器”中,打开“证书”并选择“根CA”。
在“根CA”对话框中,输入CA的名称和其他相关信息,然后按照向导完成创建。
3、配置颁发机构策略在创建完根CA后,需要配置颁发机构策略。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“策略”选项卡,然后根据需要进行配置。
例如,可以设置证书的有效期、设置证书的主题和其他相关信息等。
4、配置申请策略在配置完颁发机构策略后,需要配置申请策略。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“申请”选项卡,然后根据需要进行配置。
例如,可以设置申请者的身份验证方法和证书模板等。
5、接受申请当有用户或设备需要申请数字证书时,需要在证书服务器上接受申请。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“申请队列”选项卡,然后双击需要处理的申请。
在“处理申请”对话框中,选择处理方式(例如自动批准或手动批准),然后按照向导完成处理。
6、颁发证书在处理完申请后,需要颁发数字证书。
在“服务器管理器”中,打开“证书”并选择“颁发机构”。
在“颁发机构”对话框中,选择“已颁发的证书”选项卡,然后双击需要颁发的证书。
安装网络安全证书
安装网络安全证书
在进行网络安全证书安装的过程中,需要遵循以下步骤:
1. 下载证书文件:首先,从可信任的证书颁发机构(如Verisign、GoDaddy等)的官方网站上获取证书文件。
可以选
择合适的证书类型,如SSL证书、代码签名证书等。
2. 复制证书文件:将下载的证书文件复制到服务器或计算机的合适位置。
通常,证书文件的扩展名为.crt或.pem。
3. 打开证书管理工具:打开服务器或计算机上的证书管理工具。
不同的操作系统和软件有不同的证书管理工具,如在
Windows中可以使用MMC(Microsoft Management Console)。
4. 导入证书:在证书管理工具中,找到“个人”或“我的证书”选项,并选择“导入证书”的功能。
5. 浏览证书文件:浏览计算机上存储证书文件的路径,并选择要导入的证书文件。
6. 完成导入:按照证书管理工具的指示,完成证书的导入。
通常需要输入证书密码(如果有的话)以及指定证书的存储位置。
7. 验证证书:在证书管理工具中,可以找到导入的证书,并验证其有效性和可信性。
8. 配置应用程序:根据实际需要,在服务器或计算机上的应用
程序中配置相应的证书。
这可能包括启用HTTPS连接、配置SSL选项等。
通过以上步骤,你可以成功地安装网络安全证书。
请确保在安装证书之前,仔细阅读相关文档和指南,并按照官方推荐的步骤进行操作,以确保证书的安全和正确性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
服务器证书安装配置指南(Tomcat 6)
一、生成证书请求
1. 安装JDK
安装Tomcat需要JDK支持。
如果您还没有JDK的安装,则可以参考Java SE Development Kit (JDK) 下载。
下载地址:
/javase/downloads/index.jsp
2. 生成keystore文件
生成密钥库文件keystore.jks需要使用JDK的keytool工具。
命令行进入JDK下的bin目录,运行keytool命令。
(示例中粗体部分为可自
定义部分,请根据实际配置情况作相应调整)
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore keystore.jks -storepass password
以上命令中,server为私钥别名(-alias),生成的keystore.jks文件默认放在命令行当前路径下。
3. 生成证书请求文件(CSR)
Keytool -certreq -alias server -sigalg MD5withRSA -file certreq.csr -keystore keystore.jks -keypass password -storepass password
备份密钥库文件keystore.jks,并稍后提交证书请求文件certreq.csr,等待证书签发。
二、导入服务器证书
1. 获取服务器证书中级CA证书
为保障服务器证书在客户端的兼容性,服务器证书需要安装两张中级CA 证书(不同品牌证书,可能只有一张中级证书)。
从邮件中获取中级CA证书:
将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)分别粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为intermediate1.cer和intermediate2.cer文件。
2. 获取服务器证书
您的keystore密码
将证书签发邮件中的从BEGIN到 END结束的服务器证书内容(包括
“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为server.cer 文件
3. 查看Keystore文件内容
进入JDK安装目录下的bin目录,运行keytool命令。
keytool -list -keystore C:\keystore.jks -storepass password
查询到PrivateKeyEntry属性的私钥别名(alias)为server。
记住该别名,在稍后导入服务器证书时需要用到。
(示例中粗体部分为可自定义部分,请根据实际配置情况作相应调整。
)
注意,导入证书时,一定要使用生成证书请求文件时生成的keystore.jks文件。
keystore.jks文件丢失或生成新的keystore.jks 文件,都将无法正确导入您的服务器证书。
4. 导入证书(如果只有一张中级证书,则只需要导入一张中级证书)导入第一张中级CA证书
keytool -import -alias intermediate1 -keystore C:\keystore.jks
-trustcacerts -storepass password -file C:\intermediate1.cer
导入第二张中级CA证书
keytool -import -alias intermediate2 -keystore C:\keystore.jks -trustcacerts -storepass password -file C:\intermediate2.cer
导入服务器证书
keytool -import -alias server -keystore C:\keystore.jks
-trustcacerts -storepass password -file C:\server.cer
导入服务器证书时,服务器证书的别名必须和私钥别名一致。
请留意导入中级CA证书和导入服务器证书时的提示信息,如果您在导入服务器证书时使用的别名与私钥别名不一致,将提示“认证已添加至keystore
中”而不是应有的“认证回复已安装在keystore中”。
证书导入完成,运行keystool命令,再次查看keystore文件内容keytool -list -keystore C:\keystore.jks -storepass password
三、安装服务器证书
1. 单向认证的配置
复制已正确导入认证回复的keystore.jks文件到Tomcat安装目录下的conf目录。
打开conf目录下的server.xml文件,找到并修改以下内容 <!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false"
sslProtocol="TLS" />
SSL访问端口
-->
修改为
<Connector port="443" protocol="HTTP/1.1"
SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="conf\keystore.jks" keystorePass="password"
clientAuth="false"
sslProtocol="TLS" />
默认的SSL访问端口号为443,如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的站点。
2. 双向认证的配置
配置双向认证时,您还需要指定客户端认证的信任库文件。
客户端认证信任库文件(truststoreFile)可以和服务器证书密钥库文件(keystoreFile)为同一个文件,也可以进行独立配置。
示例中使用相同的密钥库文件。
您需要首先将客户端认证的根证书以及中级CA证书导入到客户端认证信任库。
<Connector port="443" protocol="HTTP/1.1"
SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="conf\keystore.jks" keystorePass="password"
truststoreFile="conf\keystore.jk s" truststorePass="password"
clientAuth="true"
sslProtocol="TLS" />
3. 访问测试
重启Tomcat,访问https://youdomain:port,测试证书的安装。
四、服务器证书的备份及恢复
在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。
1. 服务器证书的备份
备份服务器证书密钥库文件keystore.jks文件即可完成服务器证书的备份操作。
2. 服务器证书的恢复
请参照服务器证书安装部分,将服务器证书密钥库keystore.jks文件恢复到您的服务器上,并修改配置文件,恢复服务器证书的应用。