|
首先你得有SSL证书,没有的可以到腾讯云和阿里云申请免费SSL证书(参考:阿里云、腾讯云免费SSL域名证书申请教程),或者购买SSL证书。
Tomcat支持PFX格式和JKS两种格式的证书,您可根据您Tomcat的版本择其中一种格式的证书安装到Tomcat上。
本文教程以Tomcat 7为例,以阿里云上申请的SSL为背景,证书名称以domain name为示例,如证书文件名称为domain name.pfx,证书密码文件名称为pfx-password.txt。分别讲解PFX格式和JKS两种格式的证书安装:
一、PFX格式证书安装教程
前提条件:
- 已安装OpenSSL工具。
- 已下载Tamcat服务器所需要的证书文件
说明:
- 申请证书时如果未选择系统自动创建CSR,证书下载压缩包中将不包含.txt文件。需要您选择其他类型服务器下载.crt证书,并使用openssl命令生成pfx文件。
- 如果您自己拥有其他证书,可使用openssl命令将您自己的证书文件转化为相应格式的文件,安装到Tomcat服务器上。
Tomcat 9强制要求证书别名设置为tomcat。您需要使用以下keytool命令将protocol="HTTP/1.1"转换成protocol="org.apache.coyote.http11.Http11NioProtocol"。
- keytool -changealias -keystore domain name.pfx -alias alias -destalias tomcat
复制代码
操作步骤
1、解压已下载保存到本地的Tomcat证书文件。
解压后您将看到文件夹中有2个文件,您可为两个证书文件重命名:
- 证书文件(domain name.pfx):以.pfx为后缀或文件类型。
- 密码文件(pfx-password.txt):以.txt为后缀或文件类型。
(说明 每次下载证书都会产生新的密码,该密码仅匹配本次下载的证书。如果需要更新证书文件,同时也要更新匹配的密码。)
2、在Tomcat安装目录下新建cert目录,将解压的证书和密码文件拷贝到cert目录下。
3、修改配置文件server.xml,并保存。
文件路径:Tomcat安装目录/conf/server.xml
定位到<Connector port=”8443”和<Connector port="443"标签内容,参照以下两部分内容修改server.xml文件:
- <!--
- <Connector port="8443"
- protocol="HTTP/1.1"
- port="8443" SSLEnabled="true"
- maxThreads="150" scheme="https" secure="true"
- clientAuth="false" sslProtocol="TLS" />
- -->
复制代码- <Connector port="443"
- protocol="HTTP/1.1"
- SSLEnabled="true"
- scheme="https"
- secure="true"
- keystoreFile="domain name.pfx"
- keystoreType="PKCS12"
- keystorePass="证书密码"
- clientAuth="false"
- SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
- ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
复制代码 (说明
- 其中port属性根据实际情况修改(https默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。
- 其中keystoreFile代表证书文件的路径,请用您证书的文件名替换domain name。
- 其中keystorePass代表证书密码,请替换为密码文件pfx-password.txt中的内容。)
4、可选: 配置web.xml文件,开启HTTP强制跳转HTTPS。
在文件</welcome-file-list>后添加以下内容:
- <login-config>
- <!-- Authorization setting for SSL -->
- <auth-method>CLIENT-CERT</auth-method>
- <realm-name>Client Cert Users-only Area</realm-name>
- </login-config>
- <security-constraint>
- <!-- Authorization setting for SSL -->
- <web-resource-collection >
- <web-resource-name >SSL</web-resource-name>
- <url-pattern>/*</url-pattern>
- </web-resource-collection>
- <user-data-constraint>
- <transport-guarantee>CONFIDENTIAL</transport-guarantee>
- </user-data-constraint>
- </security-constraint>
复制代码 5、重启Tomcat。
后续操作
证书安装完成后,可通过登录证书绑定域名的方式验证证书是否安装成功。
- https://domain name.com #domain name替换成证书绑定的域名
复制代码 如果网页地址栏出现绿色小锁标志,表示证书安装成功。
验证证书是否安装成功时,如果网站无法通过https正常访问,需确认您安装证书的服务器443端口是否已开启或被其他工具拦截。
二、JKS格式证书安装教程
前提条件
- 已安装OpenSSL工具。
- 已下载Tamcat服务器所需要的证书文件。
- 已登录您的Tomcat服务器。
(说明
- 申请证书时如果未选择系统自动创建CSR,证书下载压缩包中将不包含.txt文件。需要您选择其他类型服务器下载.crt证书,并使用openssl命令生成pfx文件。
- 如果您自己拥有其他证书,可使用openssl命令将您自己的证书文件转化为相应格式的文件,安装到Tomcat服务器上。)
操作步骤
1、解压已下载保存到本地的Tomcat证书文件。
解压后您将看到文件夹中有2个文件,您可为两个证书文件重命名:
- 证书文件(domain name.pfx):以.pfx为后缀或文件类型。
- 密码文件(pfx-password.txt):以.txt为后缀或文件类型。
(说明 每次下载证书都会产生新的密码,该密码仅匹配本次下载的证书。如果需要更新证书文件,同时也要更新匹配的密码。)
2、将PFX格式的证书转换成JKS格式。
输入以下JAVA JDK命令:
- keytool -importkeystore -srckeystore domain name.pfx -destkeystore domain name.jks -srcstoretype PKCS12 -deststoretype JKS
复制代码 (说明 Windows系统中,需在%JAVA_HOME%/jdk/bin目录下执行该命令。)
回车后输入PFX证书密码和JKS证书密码,即密码文件pfx-password.txt中的内容。
(说明 JKS证书密码等同于PFX证书密码。两个密码不同的时候会导致Tomcat重启失败。)
3、在Tomcat安装目录 下新建cert目录,将转化后的证书文件和密码文件拷贝到cert目录下 。
4、修改配置文件server.xml,并保存。
文件路径:Tomcat安装目录/conf/server.xml
定位到<Connector port=”8443”和<Connector port="443"标签内容,参照以下两部分内容修改server.xml文件:
- <!--
- <Connector port="8443"
- protocol="HTTP/1.1"
- port="8443" SSLEnabled="true"
- maxThreads="150" scheme="https" secure="true"
- clientAuth="false" sslProtocol="TLS" />
- -->
复制代码- <Connector port="443"
- protocol="HTTP/1.1"
- SSLEnabled="true"
- scheme="https"
- secure="true"
- keystoreFile="domain name.pfx"
- keystoreType="PKCS12"
- keystorePass="证书密码"
- clientAuth="false"
- SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
- ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
复制代码 (说明
- 其中port属性根据实际情况修改(https默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。
- 其中keystoreFile代表证书文件的路径,请用您证书的文件名替换domain name。
- 其中keystorePass代表证书密码,请替换为密码文件pfx-password.txt中的内容。)
5、可选: 配置web.xml文件,开启HTTP强制跳转HTTPS。
在文件</welcome-file-list>后添加以下内容:
- <login-config>
- <!-- Authorization setting for SSL -->
- <auth-method>CLIENT-CERT</auth-method>
- <realm-name>Client Cert Users-only Area</realm-name>
- </login-config>
- <security-constraint>
- <!-- Authorization setting for SSL -->
- <web-resource-collection >
- <web-resource-name >SSL</web-resource-name>
- <url-pattern>/*</url-pattern>
- </web-resource-collection>
- <user-data-constraint>
- <transport-guarantee>CONFIDENTIAL</transport-guarantee>
- </user-data-constraint>
- </security-constraint>
复制代码 5、重启Tomcat。
后续操作
证书安装完成后,可通过登录证书绑定域名的方式验证证书是否安装成功。
- https://domain name.com #domain name替换成证书绑定的域名
复制代码 如果网页地址栏出现绿色小锁标志,表示证书安装成功。
验证证书是否安装成功时,如果网站无法通过https正常访问,需确认您安装证书的服务器443端口是否已开启或被其他工具拦截。
|
|