GlobalSign、Verisign(工商銀行等機構使用)、網證通(國產)、Entrust、Thawte、GeoTrust。java
國產的對瀏覽器支持的狀況很差,尤爲移動設備,泛域名證書目前支持的機構很少,一張域名型證書大約是幾千元一年。nginx
第三方證書購買生成流程
1.在要部署的服務器上用openssl工具(或者jdk的keytool工具)生成證書請求文件瀏覽器
openssl genrsa -des3 -out spsy.gdfda.gov.cn.key 1024 --生成私鑰文件,會提示設定私鑰密碼 openssl req -new -key spsy.gdfda.gov.cn.key -out spsy.gdfda.gov.cn.csr --生成證書請求文件,會提示輸入國家、所在城市、單位信息等
2.將證書請求文件給到證書機構(SSL提供商,好比,網證通),證書機構根據請求文件生成頒發證書,證書文件通常爲cer格式tomcat
3.將證書安裝到服務器服務器
安裝在nginx(須要安裝nginx ssl模塊先)session
server {
listen 443;
server_name spsy.gdfda.gov.cn;
ssl on;
ssl_certificate /hnisi/cert/spsy.gdfda.gov.cn.crt;
ssl_certificate_key /hnisi/cert/spsy.gdfda.gov.cn.key;
ssl_session_timeout 5m;
ssl_protocols SSLv2 SSLv3 TLSv1;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
# 若ssl_certificate_key使用33iq.key,則每次啓動Nginx服務器都要求輸入key的密碼。
}
安裝在tomcat工具
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS"
keystoreFile="keystore/SSL.jks" keystorePass="證書解壓密碼" />
幾種文件格式的說明
jks(java key store):JAVA的keytools證書工具支持的證書私鑰格式,密鑰庫文件,能夠容納多個公鑰或私鑰,同keystore、truststorespa
cer:證書的公鑰code
csr:證書請求文件server
pfx:瀏覽器用的,同jks
相關
ca單、雙向認證