在WSO2 API管理器中配置CA證書

Question

我在AWS EC2實例中部署了WSO2 API管理器。 我已經通過sslforfree.com購買了SSL證書。 我試圖通過keytool命令導入它。 但是它不起作用並引發錯誤。 它給我

KrbException：無法找到默認領域

如何將該證書與API管理器關聯？ 我沒有WSO2的域名，而是通過IP地址訪問的。 在這種情況下，是否有CA簽名證書？

如果我想要此EC2的域名，該怎么辦？

Answer 1

您可以將證書導入Carbon。 以管理員身份登錄<your_server>:9443/carbon 。 那去后Main > - Manage - > Keystores - > List

如果您仍在使用默認設置，則在此處會有wso2carbon.jks條目。 單擊“ Import cert ，選擇您的證書文件，然后單擊“ Import 。 此后，您的證書應該可以正常工作了。

Answer 2

這個問題有幾個主題：

我試圖通過keytool命令導入它，但是它不起作用並拋出錯誤。它給了我KrbException：無法找到默認領域

keytool會給您這個例外嗎？ 提供您使用過的keytool命令將很有用。 沒有理由要例外。

請不要將證書CN與服務器的fqdn（域名）相同（瀏覽器訪問它的方式）。

如何將該證書與API管理器關聯？

有兩種選擇。

1. 將密鑰對（私鑰和證書鏈）導入密鑰庫，並配置APIM以使用密鑰庫（在存儲庫/conf/tomcat/catalina-server.xml中）

2. 擁有反向代理服務器（Apache HTTP，NGinx），並在該代理服務器上配置SSL。 這是我最喜歡的方法。

請參閱： https ： //docs.wso2.com/display/AM210/Adding+a+Reverse+Proxy+Server

然后，您可以控制誰/什么地方可以訪問Carbon控制台，商店和發布者。

我沒有WSO2的域名，而是通過IP地址訪問的。 在這種情況下，是否有CA簽名證書？

證書頒發機構不提供基於IP的證書，因為它們可以驗證域名的所有權/控制權，但不能驗證IP地址的所有權/控制權。

您可以創建（並使之成為受信任的）您自己的CA和證書（適用於PoC，DEV環境等），但從長遠來看，您將需要在主機名上使用受信任的證書。

如果我想要此EC2的域名，該怎么辦？

您總是可以購買一個：D作為開始-當EC2實例具有動態IP地址時，您可以使用一些動態dns服務（例如https://ydns.io/ ，如果需要，可以搜索更多內容）