基本上呢, 在系統內使用certbot , 他們建議你使用–standalone參數,其實這個參數就是自己啟用HTTP, 所以如果你自身有啟用HTTP的服務
你得先關閉,比如在ubuntu內你有用APACHE,那你得先關閉, 如: service apache2 stop. 等你申請到憑證,你再啟用你原來的HTTP服務即可.
那如果你是NAT到別台去, 那你可以先暫時把NAT打到這台內部的OPENMEETINGS主機,等你拿到憑證再換回你原有的IP即可,這一般公司在假日轉換一下不是問題.
所以在使用certbot申請時,你必須確認, 你的FQDN在DNS上設定正確, 防火牆NAT也確實做好,不然由INTERNET來查找你主機錯誤的話,這個指令將執行失敗
certbot certonly –standalone -d meeting.chensource.com
拿到憑證後要匯出成PKCS12格式,
openssl pkcs12 -export -out /tmp/meeting.chensource.com_fullchain_and_key.p12 -in /etc/letsencrypt/live/meeting.chensource.com/fullchain.pem -inkey /etc/letsencrypt/live/meeting.chensource.com/privkey.pem -name tomcat
然後再用keytool指令,將PKCS12格式轉換成TOMCAT看的懂的JKS格式..
keytool -importkeystore -deststorepass your_password -destkeypass your_password -destkeystore /tmp/meeting.chensource.com.jks -srckeystore /tmp/meeting.chensource.com_fullchain_and_key.p12 -srcstoretype PKCS12 -srcstorepass your_password -alias tomcat
轉換好JKS格式後,把它COPY到OPENMEETINGS的CONF目錄
cp /tmp/meeting.chensource.com.jks /opt/openmeetings/conf
然後編輯server.xml,將你原來的JKS檔案名及密碼更正好,再重開服務, 新憑證就可以使用了..
edit /opt/openmeetings/conf/server.xml
