我正在将我的单服务器 tomcat 迁移到一个集群,由 Apache HTTPD(使用 mod_proxy 的反向代理)进行负载平衡和缓存。 是否可以将证书和 key 转换为 Apache 格式,或者我必须重新颁发整个文件?
最佳答案
直接使用 keytool
提取证书非常容易,提取私钥有点棘手(尽管您可以编写程序来这样做)。我建议结合使用 keytool
和 openssl
。
如果您的 keystore 采用 PKCS#12 格式(.p12 文件),请跳过此步骤。使用 keytool
(需要 Java 6+ 版本)将您的 JKS 存储转换为 PKCS12 存储
keytool -importkeystore -srckeystore thekeystore.jks \
-srcstoretype JKS \
-destkeystore thekeystore.p12 \
-deststoretype PKCS12
然后,使用 openssl 提取证书:
openssl pkcs12 -in thekeystore.p12 -clcerts -nokeys -out servercert.pem
提取私钥:
umask 0077
openssl pkcs12 -in thekeystore.p12 -nocerts -nodes -out serverkey.pem
umask 0022
请注意,因为在提取私钥时使用了 -nodes
选项,所以私钥文件不会受到保护(因为它必须没有密码才能被 Apache Httpd 使用),因此请确保没有其他人可以阅读它。
然后,使用 SSLCertificateFile
配置 Apache Httpd和 SSLCertificateKeyFile
分别指向证书文件和私钥文件。
关于apache - 我如何将 SSL 从 Tomcat 迁移到 Apache HTTPD?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3730236/