SSL证书生成

       强烈建议用户使用自己的证书或者由专业CA生成的证书，若没有，可以使用下载文档中的 "OpenSSL证书工具.zip"来自己生成证书，只适用于windows。(若移动端访问也需要通过https方式访问，需用专业的CA生成的证书，因为不受信的证书，在安卓手机上通常会安装不上（ 如提示 java.security.cert.CertPathValidatorException: Trust anchor for certification path not found：），导致无法正常访问服务器。

• 解压工具包                                                                      下载链接:   OpenSSL证书工具.zip
• 执行解压目录里面的 1.GenerateRootCA.cmd 生成根证
• 执行解压目录里面的 2.GenerateServer.cmd 出现如下界面：
  
  这时候需要填入应用服务器的域名，多个域名之间使用空格分开。
• 上一步成功执行后，将产生一个对应IP或者域名的目录，里面有一个.pfx文件，将该文件拷入应用服务器的bin目录，
  这个文件就是服务器需要使用证书了。
• 参考下面的附录进行服务端的证书部署。

J2EE应用服务器上安装SSL证书

附录1：TOMCAT服务器证书部署

1. 进入服务器安装目录的conf 子目录，编辑 server.xml文件

2. 修改里面的SSL设置，改法如下： 
   
   

   <Connector port="8443" maxHttpHeaderSize="8192" SSLEnabled="true" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreType="PKCS12" keystoreFile="XXX\XXX\XXX.pfx" keystorePass="ServerPassword" />

3. 如果使用上述配置启动时提示SSLCertificateFile或SSLCertificateKeyFile属性没有设置，则使用下述的格式

   <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" SSLCertificateFile="${catalina.base}/bin/XXX.cer" SSLCertificateKeyFile="${catalina.base}/bin/XXX.pem" SSLPassword="ServerPassword"/>

   
   
   

   需要注意修改的就是端口号和证书路径。
   说明：注意防火墙是否禁用端口。

附录2：WEBSPHERE服务器证书部署

      以WAS8.5举例说明

1. 进入服务器管理页面， "安全性"——"SSL证书和密钥管理"
    
2. 进入"管理端点安全配置"

    3.选择对应的服务器或集群的入站设置

     4.进入管理证书

    5.填写证书存放的路径，导入证书，

注意选择证书别名，选择上面用OpenSSL工具生成的pfx文件，密码默认为：ServerPassword

   6.导入后回到上层菜单选择导入的证书别名保存，并重启服务器。

附录3：WEBLOGIC 10服务器证书部署

1、进入服务器管理页面， "环境"——"服务” —“AdminServer”

2、启动SSL端口。

3、进入"密钥库"页面，点击更改按钮，设为为“定制标识和Java标准信任“，设置“密钥库标识“和”密钥库信任“信息。

“密钥库标识“为pfx的路径。

“密钥库类型”为“PKCS12”

“密码”上面用OpenSSL工具生成的pfx文件密码默认为：ServerPassword

 3、进入到”SSL“页面，设置“私有密钥别名“和”密码“

附录4：在J2EE服务器上发布APP.WAR

1. 下载app.war，并用winrar软件打开
2. 将新生成的RootCA.cer根证书，替换app.war中的原有证书
3. 修改app.war/index.htm文件中的相关链接，确保它使用HTTPS并且IP或域名与上述生成证书时输入的IP或域名一致
   
4. 修改app.war/Smartbi.plist文件中的相关链接，确保它使用HTTPS并且IP或域名与上述生成证书时输入的IP或域名一致
   
5. 参考smartbi在各应用服务器上的部署方式将修改后的app.war发布到服务器
6. iPad/iPhone中通过Safari访问IPA安装界面并点击该链接安装证书
   
7. 点击IPA安装链接进行安装

IIS上安装SSL证书及发布ipa

1、打开IIS7，选择根节点，如下

2、接下来可以在右边找到操作栏，选择导入

3、选择上面用OpenSSL工具生成的pfx文件，密码默认为：ServerPassword

4、选择一个你要启用https的站点，注间是站点不是其中的某个虚拟目录，点击绑定

5、点击“添加”，选择“类型”和上面导入的ssl证书，并确定。

6、点击“MIME类型”，点击”添加”,添加新的MIME类型。

扩展名                   MIME类型

.plist                  application/plist

.ipa                   application/octet-stream

.mobileprovision        application/octet-stream

.ct                    application/x-x509-ca-cert

7、将OPENSSL中生成的RootCA.cer修改名称为RootCA.ct放到iis目录下

8、将ipa文件放到iis目录下

9、将ipa.rar中的文件放到iis目录下。

修改index.html和app_https.plist文件中的服务器地址

10、将根证书RootCA.cer发送到移动端，下载安装。（若移动端设置有锁屏密码，安装时需要输入锁屏密码）

部署完成后的问题诊断

1. 在手机上无法访问到安装页面
   请检查应用服务器和手机是否在同一个网络环境，并且对应端口没有被防火墙阻止。
2. 安装证书后，点击页面上的链接，提示无法链接服务器
   请确认根证书和app下载链接的的IP或域名是一致的，并且已经替换掉app.war/RootCer.cer。