對startssl的免費證書續期（續）

2016-3-24續

今天域名上申請的證書到期，申請證書配置到tomcat又搞了2個下午才知道爲啥。

去nian，用的是這個方法續證書的，參考http://fengfan.blog.163.com/blog/static/13478622013713114942896/

總結以下：

也就是在startssl上點擊Certificates Wizard，輸入密碼，生成一個私鑰，再點擊Tool Box→ Create PKCS#12 (PFX) File，輸入上步私鑰的文本，域名的證書的文本和密碼生成一個pfx文件，命名爲xx.p12。證書怎麼來的？驗證域名，大概幾個小時經過後就能夠下載了。

以後在操做系統輸入

keytool -importkeystore -deststorepass 密碼 -destkeystore xx.jks -srckeystore xx.p12 -srcstoretype PKCS12 -srcstorepass 密碼

生成jks文件，再導入startssl的相關證書，若是導入過就不用再導入了

keytool -import -alias startsslca -file ca.pem -keystore xx.jks
keytool -import -alias startsslca2 -file sub.class1.server.ca.pem -keystore xx.jks

tomcat再修改配置文件server.xml

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
URIEncoding="UTF-8"
enableLookups="false"
keystoreFile="xxca/xx.jks" keystorePass="密碼" />

今nian呢，startssl界面改版了，感受好多東西不能用了，好比原來生成私鑰沒有了，生成pfx文件一直提示失敗。

新版的要申請域名的證書，不用等待人工審覈了，須要本身輸入csr文件的內容。

那個用IE生成是什麼鬼，搞不懂，也沒有產生密鑰輸入密碼的過程，用到的時候密碼要輸什麼都不知道，事實證實，用了這個IE生成也同樣不懂得怎麼玩，一個下午就這麼試驗中過去了。

先說一下正確方法，再說一下遇到的問題吧。

參考http://blog.csdn.net/clapton/article/details/50955779

實際正確步驟：

#先生成2個文件
keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -keystore xx.jks
#輸入裏面的first name and last name 輸入域名

keytool -certreq -keyalg RSA -alias tomcat -keysize 2048 -file xx.csr -keystore xx.jks

#再到startssl.com，Certificates Wizard-> 輸入子域名，選擇Generated by Myself   (.cer PEM format certificate)，輸入csr的內容，submit，下載的證書就能夠用了，選擇OtherServer裏面的。

#下面這3個文件在OtherServer裏面
keytool -import -alias startcom.root -keystore xx.jks -trustcacerts -file root.crt
keytool -import -alias startcom.intermediate -keystore xx.jks -file 1_Intermediate.crt
#若是這兩個文件已經導入過就不用再導入了

keytool -import -alias tomcat -keystore xx.jks -file 域名.crt

以上步驟都沒出問題之後，把tomcat中的證書路徑指向xx.jks，重啓tomcat，輸入地址訪問，查看證書到期日期，沒問題。

遇到的一堆問題，內牛滿面~~~~(>_<)~~~~

Please submit your Certificate Signing Request (CSR):

use the openssl command: openssl req -newkey rsa:2048 -keyout yourname.key -out yourname.csr

在服務器上用這個命令生成了.key 和 .csr文件，把csr的內容複製到瀏覽器，生成的域名.zip裏面有4個壓縮包。

以後不知道怎麼玩，由於之前的思路固定了思惟，對這個玩意兒也沒深刻理解，只能按照別人的步驟一步一步來，後來發現了上面參考地址，因而一步一步作下來。到最後一步的時候，提示Public keys in reply and keystore don't match。這個又是什麼鬼，找了一個下午資料，最後終於知道了。

用openssl 的命令，生成了2個文件，一個.key 一個.csr，

keytool -genkey
#生成了一個.jks文件
keytool -certreq
#生成了一個.csr文件

新生成的.csr文件覆蓋了openssl生成的csr文件，因而，用這個csr來作最後一步就會報錯公鑰不匹配了。

反正正確的順序是不用openssl的生成，先要有.jks和.csr文件再去startssl申請證書，這樣就沒問題了。

若是非要用openssl生成.key和.csr文件，接下來怎麼作呢？

忽略keytool -genkey 和 ketool -certreq這兩個步驟，直接把csr的內容拿去生成證書，只是最後一步導入域名證書的時候會提示<tomcat> already exists.

囧囧囧，好吧，我懶得再研究這個怎麼繼續下去了，對於這些東西的理解太淺薄，只是額外的工做而已，應該有大能知道怎麼再繼續下去吧，要是能告訴我就行了。花了2個下午的成果，還好最近不用寫代碼。