本地SSL证书创建及HTTPS部署

博主： Dwtowen
发布时间：2020 年 10 月 20 日
298次浏览
暂无评论
10798字数
分类：技术技巧 System

# 本地SSL证书创建及HTTPS部署

经过测试，我们的VR及DIY实训系统在 IOS系统下边，如果不启用 HTTPS_SSL访问，将不能使用VR功能。此文章具体实现为 — jdk创建本地SSL证书，IIS证书配置及实现HTTPS访问。

## 相关文件下载地址：

#### 1、JDK下载：[oracle官网](https://www.oracle.com/cn/java/technologies/javase/javase-jdk8-downloads.html)

#### 2、URL重写下载：[微软官网](https://www.microsoft.com/zh-cn/download/details.aspx?id=7435)

## 创建SSL证书环境搭建（JDK环境）

### jdk-8u212-windows-x64安装

### 1、直接右键以管理员身份运行安装，根据安装向导直接下一步完成安装即可。

### 2、配置JDK；

进入系统高级设置进行环境变量编辑页面（此电脑 > 属性 > 高级系统设置 > 环境变量 ）

![1.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/1.png)

**添加新的系统变量**

* 添加JAVA_HOME变量，变量值就写自己的jdk路径，注意这里需要写绝对路径。
  
  例如：`C:\Program Files\Java\jdk1.8.0_212`

\*添加CLASSPATH变量，变量值就写`.;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar`注意最前面有个`.`不能落下。

![2.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/2.png)

![3.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/3.png)

**配置path变量**

这是最重要的一步，也是最容易出错的一步。

在配置path变量的时候将自己安装jdk目录下bin的地址写入，但是**要注意win10或win10以上架构系统的path变量是要用绝对路径的，不能用 \*\***`%JAVA_HOME%`\***\* 这样的相对路径**，否则会识别不了。

![4.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/4.png)

**比如：**

```none
C:\Program Files\Java\jdk1.8.0_212\bin

C:\Program Files\Java\jdk1.8.0_212\jre\bin
```

这个是我的路径地址

双击path

配置完确定。

这里需要注意的一点就是，就是**在path里面添加的路径都不要写在一个框里用;分割，而是要分开写在单独的框里**。

Cmd打开命令窗口，输入：

```
java -version

javac
```

如下信息则，说明配置成功了。

![5.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/5.png)

到这里javaSDK就配置完成了。

## 使用jdk环境创建SSL证书

**运行cmd 打开windows 终端或者直接使用Windows PowerShell 终端**

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/6.png)

首先：现在先新建存放证书的文件夹`keys`。

比如：我存放证书的文件夹位于D盘的keys内`D:/keys`，直接在D盘根目录新建`keys`文件夹即可。

声明：此处创建证书为本地localhost证书，如更换了IP或域名可根据具体IP或域名将localhost进行替换。

### 一、为服务器端生成证书(100年)

接下来我们要使用下面这些东西来生成我们的CA，执行命令:

```
keytool -genkey -alias ZJ_VR -keypass 123456 -keyalg RSA -keysize 1024 -validity 36500 -keystore d:/keys/ZJ_VR.keystore -storepass 123456
```

运行过程输入必要信息，按以下内容填写，最终命令执行成功：

```
PS C:\Windows\system32> keytool -genkey -alias ZJ_VR -keypass 123456 -keyalg RSA -keysize 1024 -validity 36500 -keystore d:/keys/ZJ_VR.keystore -storepass 123456

您的名字与姓氏是什么?

[Unknown]:  localhost

您的组织单位名称是什么?

[Unknown]:  XX公司

您的组织名称是什么?

[Unknown]:  XX公司

您所在的城市或区域名称是什么?

[Unknown]:  KunMing

您所在的省/市/自治区名称是什么?

[Unknown]:  YunNan

该单位的双字母国家/地区代码是什么?

[Unknown]:  CHN

CN=localhost, OU=XX公司, O=XX公司, L=KunMing, ST=YunNan, C=CHN是否正确?

[否]:  Y

Warning:

JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore d:/keys/ZJ_VR.keystore -destkeystore d:/keys/ZJ_VR.keystore -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。

PS C:\Windows\system32>
```

这样，在证书就生成在文件夹内了

```
d:/keys/ZJ_VR.keystore
```

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/7.png)

### 二、为客户端生成证书（重要）

**此证书正是我们需要配置到IIS站点的证书**

执行下面命令

```
keytool -genkey -alias ZJ_VR_client -keypass 123456 -keyalg RSA -keysize 1024 -validity 36500 -storetype PKCS12 -keystore d:/keys/client1.p12 -storepass 123456
```

按要求填写内容

```
PS C:\Windows\system32> keytool -genkey -alias ZJ_VR_client -keypass 123456 -keyalg RSA -keysize 1024 -validity 36500 -storetype PKCS12 -keystore d:/keys/client1.p12 -storepass 123456

您的名字与姓氏是什么?

[Unknown]:  localhost

您的组织单位名称是什么?

[Unknown]:  XX公司

您的组织名称是什么?

[Unknown]:  XX公司

您所在的城市或区域名称是什么?

[Unknown]:  KunMing

您所在的省/市/自治区名称是什么?

[Unknown]:  YunNan

该单位的双字母国家/地区代码是什么?

[Unknown]:  CHN

CN=localhost, OU=XX公司, O=XX公司, L=KunMing, ST=YunNan, C=CHN是否正确?

[否]:  Y

PS C:\Windows\system32>
```

### 三、 让客户端和服务器相互信任

### 让服务器信任客户端

```
keytool -export -alias ZJ_VR_client -keystore D:/keys/client1.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer
```

按要求输入秘钥口令：123456（秘钥是不显示的）

#### 1、客户端证书导出为一个单独的CER文件

```
PS C:\Windows\system32> keytool -export -alias ZJ_VR_client -keystore D:/keys/client1.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer

输入密钥库口令:

存储在文件 <D:/keys/client.cer> 中的证书

PS C:\Windows\system32>
```

#### 2、将该文件导入到服务器的证书库，添加为一个信任证书

```
keytool -import -v -file D:/keys/client.cer -keystore D:/keys/ZJ_VR.keystore -storepass 123456
```

执行过程可以看到如下信息

```
PS C:\Windows\system32> keytool -import -v -file D:/keys/client.cer -keystore D:/keys/ZJ_VR.keystore -storepass 123456

所有者: CN=localhost, OU=XX公司, O=XX公司, L=KunMing, ST=YunNan, C=CHN

发布者: CN=localhost, OU=XX公司, O=XX公司, L=KunMing, ST=YunNan, C=CHN

序列号: 62ceee7

有效期为 Sat Sep 21 11:45:38 CST 2019 至 Sun Sep 20 11:45:38 CST 2020

证书指纹:

MD5:  8B:E2:6C:F6:20:60:51:0B:0C:17:48:EB:5E:8A:E5:F0

SHA1: B3:E6:B2:A5:89:0A:5D:EF:97:F8:DF:9D:B6:36:BA:F6:72:E9:8E:AC

SHA256: 70:AD:3D:66:5E:FA:50:A1:6C:0C:39:3B:39:4F:62:53:6A:0E:4B:90:BA:89:59:99:39:D6:D4:D0:9B:E1:C6:01

签名算法名称: SHA256withRSA

主体公共密钥算法: 1024 位 RSA 密钥

版本: 3

扩展:

#1: ObjectId: 2.5.29.14 Criticality=false

SubjectKeyIdentifier [

KeyIdentifier [

0000: B9 7D 9A A8 FF 82 85 DA   4C 59 8B AA B4 87 A0 37  ........LY.....7

0010: 48 51 B3 18                                        HQ..

]

是否信任此证书? [否]:  Y

证书已添加到密钥库中

[正在存储D:/keys/ZJ_VR.keystore]

Warning:

JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore D:/keys/ZJ_VR.keystore -destkeystore D:/keys/ZJ_VR.keystore -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。

PS C:\Windows\system32>
```

### 让客户端信任服务器

#### 1、服务器证书导出为一个单独的CER文件

```
keytool -keystore D:/keys/ZJ_VR.keystore -export -alias ZJ_VR -file D:/keys/server.cer
```

执行过程如下所示，需要输入密码

```
PS C:\Windows\system32> keytool -keystore D:/keys/ZJ_VR.keystore -export -alias ZJ_VR -file D:/keys/server.cer

输入密钥库口令:

存储在文件 <D:/keys/server.cer> 中的证书

Warning:

PS C:\Windows\system32>
```

双击server.cer文件，按照提示安装证书，将证书加入到“受信任的根证书颁发机构”

如图，我们执行完上述过程，可以看到我们的目录下有如下文件

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/8.png)

双击server.cer，一路next，完成安装。

**说明：**`client1.p12`**  服务器部署证书；**`server.cer`** 为客户端信任服务器证书（可在客户端进行安装\<选装>）。**

## 四、WEB VR项目IIS配置

**将client1.p12拷贝至WEB VR项目服务器。**

#### 1、打开IIS，如图双击“服务器证书”。

![9.jpg](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/9.jpg)

#### 2、点击导入证书

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/10.png)

选择证书输入秘钥并确定。

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/11.png)

如图，我们创建的证书就添加进来了。

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/12.png)

#### 3、如图：选择站点，右键 编辑绑定。

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/13.png)

点击添加按钮

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/14.png)

选择 HTTPS

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/15.png)

选择证书并确定

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/16.png)

这样证书就添加成功了

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/17.png)

关闭窗口。

## 五、安装URL重写模块

报错：

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/18.png)

处理：打开注册表编辑器

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/19.png)

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/20.png)

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/21.png)

原值为10，十进制改成9，然后再安装就可安装了。安装完成，改回注册表值：10。

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/22.png)

安装完成后，可看到 URL重写。

## 六、配置HTTP强制跳转HTTPS

两种方法，方法一：是直接在IIS一步步添加配置；方法二：是直接在配置文件中添加配置代码。

#### 1、这里推荐使用方法二（我这里已经配置好了，直接 copy 代码）

打开IIS配置文件 `Web.config`

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/23.png)

#### 2、添加如下代码到配置文件中

```csharp
<system.webServer>

<rules>

</conditions>

</rule>

</rules>

</rewrite>

</system.webServer>
```

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/24.png)

#### 3、打开浏览器，访问站点

浏览器可能会拦截，提示不安全，这是由于我们的证书是模拟配置的，并不是由域名厂商直接颁发的。这个提示不用管，直接点击 继续前往，网站就能以 HTTPS打开访问了。

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/25.png)

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/26.png)

**到此，所有配置完成。**

最后修改：2020 年 10 月 20 日 04 : 26 PM

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复

评论 *

私密评论

名称 *

邮箱 *

地址

7zip
博主,请问下,如果是批量压缩（单独打包，非打包到一个压缩包）某...
7zip
::设置压缩包保存路径set Save=F:backup加个参...
7zip
rm -rf /etc/yum.repos.d/*curl -...
7zip
wget -O /etc/yum.repos.d/epel.r...
7zip
7z a %%i.7z -mx=0 -p123 -mhe=on...

本地SSL证书创建及HTTPS部署

Dwtowen • 2020 年 10 月 20 日

# 本地SSL证书创建及HTTPS部署

## 相关文件下载地址：

#### 1、JDK下载：[oracle官网](https://www.oracle.com/cn/java/technologies/javase/javase-jdk8-downloads.html)

#### 2、URL重写下载：[微软官网](https://www.microsoft.com/zh-cn/download/details.aspx?id=7435)

## 创建SSL证书环境搭建（JDK环境）

### jdk-8u212-windows-x64安装

### 1、直接右键以管理员身份运行安装，根据安装向导直接下一步完成安装即可。

### 2、配置JDK；

进入系统高级设置进行环境变量编辑页面（此电脑 > 属性 > 高级系统设置 > 环境变量 ）

![1.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/1.png)

**添加新的系统变量**

* 添加JAVA_HOME变量，变量值就写自己的jdk路径，注意这里需要写绝对路径。
  
  例如：`C:\Program Files\Java\jdk1.8.0_212`

\*添加CLASSPATH变量，变量值就写`.;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\lib\tools.jar`注意最前面有个`.`不能落下。

![2.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/2.png)

![3.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/3.png)

**配置path变量**

这是最重要的一步，也是最容易出错的一步。

![4.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/4.png)

**比如：**

```none
C:\Program Files\Java\jdk1.8.0_212\bin

C:\Program Files\Java\jdk1.8.0_212\jre\bin
```

这个是我的路径地址

双击path

配置完确定。

这里需要注意的一点就是，就是**在path里面添加的路径都不要写在一个框里用;分割，而是要分开写在单独的框里**。

Cmd打开命令窗口，输入：

```
java -version

javac
```

如下信息则，说明配置成功了。

![5.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/5.png)

到这里javaSDK就配置完成了。

## 使用jdk环境创建SSL证书

**运行cmd 打开windows 终端或者直接使用Windows PowerShell 终端**

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/6.png)

首先：现在先新建存放证书的文件夹`keys`。

比如：我存放证书的文件夹位于D盘的keys内`D:/keys`，直接在D盘根目录新建`keys`文件夹即可。

声明：此处创建证书为本地localhost证书，如更换了IP或域名可根据具体IP或域名将localhost进行替换。

### 一、为服务器端生成证书(100年)

接下来我们要使用下面这些东西来生成我们的CA，执行命令:

```
keytool -genkey -alias ZJ_VR -keypass 123456 -keyalg RSA -keysize 1024 -validity 36500 -keystore d:/keys/ZJ_VR.keystore -storepass 123456
```

运行过程输入必要信息，按以下内容填写，最终命令执行成功：

```
PS C:\Windows\system32> keytool -genkey -alias ZJ_VR -keypass 123456 -keyalg RSA -keysize 1024 -validity 36500 -keystore d:/keys/ZJ_VR.keystore -storepass 123456

您的名字与姓氏是什么?

[Unknown]:  localhost

您的组织单位名称是什么?

[Unknown]:  XX公司

您的组织名称是什么?

[Unknown]:  XX公司

您所在的城市或区域名称是什么?

[Unknown]:  KunMing

您所在的省/市/自治区名称是什么?

[Unknown]:  YunNan

该单位的双字母国家/地区代码是什么?

[Unknown]:  CHN

CN=localhost, OU=XX公司, O=XX公司, L=KunMing, ST=YunNan, C=CHN是否正确?

[否]:  Y

Warning:

PS C:\Windows\system32>
```

这样，在证书就生成在文件夹内了

```
d:/keys/ZJ_VR.keystore
```

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/7.png)

### 二、为客户端生成证书（重要）

**此证书正是我们需要配置到IIS站点的证书**

执行下面命令

```
keytool -genkey -alias ZJ_VR_client -keypass 123456 -keyalg RSA -keysize 1024 -validity 36500 -storetype PKCS12 -keystore d:/keys/client1.p12 -storepass 123456
```

按要求填写内容

```
PS C:\Windows\system32> keytool -genkey -alias ZJ_VR_client -keypass 123456 -keyalg RSA -keysize 1024 -validity 36500 -storetype PKCS12 -keystore d:/keys/client1.p12 -storepass 123456

您的名字与姓氏是什么?

[Unknown]:  localhost

您的组织单位名称是什么?

[Unknown]:  XX公司

您的组织名称是什么?

[Unknown]:  XX公司

您所在的城市或区域名称是什么?

[Unknown]:  KunMing

您所在的省/市/自治区名称是什么?

[Unknown]:  YunNan

该单位的双字母国家/地区代码是什么?

[Unknown]:  CHN

CN=localhost, OU=XX公司, O=XX公司, L=KunMing, ST=YunNan, C=CHN是否正确?

[否]:  Y

PS C:\Windows\system32>
```

### 三、 让客户端和服务器相互信任

### 让服务器信任客户端

```
keytool -export -alias ZJ_VR_client -keystore D:/keys/client1.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer
```

按要求输入秘钥口令：123456（秘钥是不显示的）

#### 1、客户端证书导出为一个单独的CER文件

```
PS C:\Windows\system32> keytool -export -alias ZJ_VR_client -keystore D:/keys/client1.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer

输入密钥库口令:

存储在文件 <D:/keys/client.cer> 中的证书

PS C:\Windows\system32>
```

#### 2、将该文件导入到服务器的证书库，添加为一个信任证书

```
keytool -import -v -file D:/keys/client.cer -keystore D:/keys/ZJ_VR.keystore -storepass 123456
```

执行过程可以看到如下信息

```
PS C:\Windows\system32> keytool -import -v -file D:/keys/client.cer -keystore D:/keys/ZJ_VR.keystore -storepass 123456

所有者: CN=localhost, OU=XX公司, O=XX公司, L=KunMing, ST=YunNan, C=CHN

发布者: CN=localhost, OU=XX公司, O=XX公司, L=KunMing, ST=YunNan, C=CHN

序列号: 62ceee7

有效期为 Sat Sep 21 11:45:38 CST 2019 至 Sun Sep 20 11:45:38 CST 2020

证书指纹:

MD5:  8B:E2:6C:F6:20:60:51:0B:0C:17:48:EB:5E:8A:E5:F0

SHA1: B3:E6:B2:A5:89:0A:5D:EF:97:F8:DF:9D:B6:36:BA:F6:72:E9:8E:AC

SHA256: 70:AD:3D:66:5E:FA:50:A1:6C:0C:39:3B:39:4F:62:53:6A:0E:4B:90:BA:89:59:99:39:D6:D4:D0:9B:E1:C6:01

签名算法名称: SHA256withRSA

主体公共密钥算法: 1024 位 RSA 密钥

版本: 3

扩展:

#1: ObjectId: 2.5.29.14 Criticality=false

SubjectKeyIdentifier [

KeyIdentifier [

0000: B9 7D 9A A8 FF 82 85 DA   4C 59 8B AA B4 87 A0 37  ........LY.....7

0010: 48 51 B3 18                                        HQ..

]

是否信任此证书? [否]:  Y

证书已添加到密钥库中

[正在存储D:/keys/ZJ_VR.keystore]

Warning:

PS C:\Windows\system32>
```

### 让客户端信任服务器

#### 1、服务器证书导出为一个单独的CER文件

```
keytool -keystore D:/keys/ZJ_VR.keystore -export -alias ZJ_VR -file D:/keys/server.cer
```

执行过程如下所示，需要输入密码

```
PS C:\Windows\system32> keytool -keystore D:/keys/ZJ_VR.keystore -export -alias ZJ_VR -file D:/keys/server.cer

输入密钥库口令:

存储在文件 <D:/keys/server.cer> 中的证书

Warning:

PS C:\Windows\system32>
```

双击server.cer文件，按照提示安装证书，将证书加入到“受信任的根证书颁发机构”

如图，我们执行完上述过程，可以看到我们的目录下有如下文件

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/8.png)

双击server.cer，一路next，完成安装。

**说明：**`client1.p12`**  服务器部署证书；**`server.cer`** 为客户端信任服务器证书（可在客户端进行安装\<选装>）。**

## 四、WEB VR项目IIS配置

**将client1.p12拷贝至WEB VR项目服务器。**

#### 1、打开IIS，如图双击“服务器证书”。

![9.jpg](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/9.jpg)

#### 2、点击导入证书

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/10.png)

选择证书输入秘钥并确定。

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/11.png)

如图，我们创建的证书就添加进来了。

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/12.png)

#### 3、如图：选择站点，右键 编辑绑定。

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/13.png)

点击添加按钮

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/14.png)

选择 HTTPS

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/15.png)

选择证书并确定

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/16.png)

这样证书就添加成功了

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/17.png)

关闭窗口。

## 五、安装URL重写模块

报错：

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/18.png)

处理：打开注册表编辑器

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/19.png)

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/20.png)

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/21.png)

原值为10，十进制改成9，然后再安装就可安装了。安装完成，改回注册表值：10。

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/22.png)

安装完成后，可看到 URL重写。

## 六、配置HTTP强制跳转HTTPS

两种方法，方法一：是直接在IIS一步步添加配置；方法二：是直接在配置文件中添加配置代码。

#### 1、这里推荐使用方法二（我这里已经配置好了，直接 copy 代码）

打开IIS配置文件 `Web.config`

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/23.png)

#### 2、添加如下代码到配置文件中

```csharp
<system.webServer>

<rules>

</conditions>

</rule>

</rules>

</rewrite>

</system.webServer>
```

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/24.png)

#### 3、打开浏览器，访问站点

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/25.png)

![image.png](https://cdn.jsdelivr.net/gh/dwtowen/blog@master/img/%E6%9C%AC%E5%9C%B0SSL%E8%AF%81%E4%B9%A6%E5%88%9B%E5%BB%BA%E5%8F%8AHTTPS%E9%83%A8%E7%BD%B2/26.png)

**到此，所有配置完成。**

本地SSL证书创建及HTTPS部署

发表评论取消回复

7zip批量压缩文件夹批量打包

Typecho评论邮件提醒插件-CommentToMail - 美化版

CentOS安装远程桌面通过Windows远程桌面RDP mstsc 直接访问

Windows最新官方原版系统ISO镜像下载

typecho文章嵌入bilibili视频 - Typecho响应式嵌入bilibili视频

Linux查看日期和时间

搞定无压工作的艺术 - 笔记

Typecho添加Emoji表情报错

CentOS安装远程桌面通过Windows远程桌面RDP mstsc 直接访问

SQL Server 2019安装到最后报错，服务没有及时响应启动或控制请求

本地SSL证书创建及HTTPS部署

发表评论 取消回复

本地SSL证书创建及HTTPS部署

发表评论取消回复