摘要由AI智能服务提供金蝶云星空产品安装包含ApacheTomcat_K3Cloud环境,用于BBC、轻分析等业务,默认在多个端口承载https协议,使用自签名证书。若配置IIS的https及可信证书,则轻分析需相同域名可信证书。Tomcat支持pfx、jks证书,建议使用pfx以防兼容问题。操作包括替换证书文件、更新配置文件、重启服务并验证。若用jks证书需额外验证。附录提供pfx转jks证书的命令,但直接使用pfx更佳。
一、概述
金蝶云星空产品安装目录带有一个ApacheTomcat_K3Cloud,是一套用于承载BBC、轻分析等业务的Tomcat环境,默认在1900、1950、8080等3个端口上承载了https协议,使用的是自签名证书。
如果金蝶云星空在IIS上配置了https及可信证书,则在访问轻分析时,主流浏览器要求轻分析的https证书为相同域名的可信证书。
金蝶云星空提供的Tomcat版本为8.x版本,支持pfx、及jks格式证书,经测试验证不同版本的KeyTool生成的jks证书可能不兼容,而pfx格式证书没这方面问题,故建议使用pfx格式证书配置
二、操作步骤
1、首先我们可以找到星空的安装目录,比如默认的是“C:\Program Files (x86)\Kingdee\K3Cloud”,然后在里面找到"\ApacheTomcat_K3Cloud\conf\server.xml"文件,打开如图,红框部分支出了配置文件使用的自签名证书名、密码。要更换证书,这里的信息我们需要更新成自行准备的可信的证书信息。
2、确认可信证书的格式,部分证书颁发机构会直接提供pfx格式证书,可以直接使用,如果是其他格式证书的需要转换,以“cer/key”证书对为例,可以使用OpenSSL转换,参考命令如下:
openssl pkcs12 -in domain.cer -inkey domain.key -export -out domain.pfx -passout pass:密码 -name tomcat
3、得到pfx格式证书后,将“domain.pfx”文件拷贝到“\ApacheTomcat_K3Cloud\conf\”文件夹下,修改第一步配置文件红框部分内容,将“TomcatSSLCertifical”改为新证书文件完整名称(注意扩展名不能遗漏)、“:kingdee$#~~!”改为新证书对应密码。
4、任务管理器-服务页签,重启K3CloudTomcat服务。
5、浏览器使用证书对应的域名访问轻分析测试页,可见证书生效情况。
三、其他事项
如果打算使用jks格式证书的,需要检查证书在服务器上能否正常打开,验证步骤如下:
1、在“星空安装目录\JDK\bin”下找到keytool.exe
2、在CMD(命令提示符)界面下,使用此keytool验证jks证书,正常结果类似下图。
一定要使用金蝶云星空安装目录下的keytool验证
"C:\Program Files (x86)\Kingdee\K3Cloud\JDK\bin\keytool.exe" -list -keystore "证书目录\domain.jks" -storepass 证书密码
Windows下证书路径注意事项
1、如果使用绝对路径,参考格式"D:\Path\to\cert.pfx"
四、附录
使用keytool将pfx格式证书转jks证书可参考如下命令(如概述所言,星空使用的Tomcat可直接使用pfx格式证书,无需转换)
keytool -importkeystore -srckeystore domain.pfx -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore domain.jks -deststoretype pkcs12 -deststorepass 123456 -alias tomcat
赞 7
打赏推荐阅读
您的鼓励与嘉奖将成为创作者们前进的动力,如果觉得本文还不错,可以给予作者创作打赏哦!
请选择打赏金币数 *