7×24小时服务热线:4006-371-371
当前位置:371数据中心 - 行业动态 -正文

Tomcat SSL证书安装指南

更新时间:17/11/15

一、获取SSL证书

1.获取服务器证书的根证书和CA证书

在您完成申请GDCA服务器证书的流程后,GDCA将会在返回给您的邮件中附上服务器证书。带有域名的是您的的证书公钥文件,CA证书.crt是中级证书文件。(注意:所发至邮箱的文件是压缩文件,里面有2张证书,请将CA证书文件.crt重命名为chain.crt;私钥文件.key是在您提交csr文件时已经生成,请找到这个文件!)

2.获取服务器证书私钥证书

请找到之前提交csr时生成的.key私钥文件,该文件为证书的私钥,后面配置要用到

3、合成证书

1)用浏览器打开以下链接: https://www.trustauth.cn/SSLTool/tool/export_keystore.jsp

2)用记事本或者文本编辑器打开上面的证书公钥、证书私钥、中级证书文件,根据下图填入合成证书信息,导出后会下载一个www.domainame.com.jks的文件,保存好这个文件。

二、安装服务器证书

1.配置Tomcat
复制已正确导入认证回复的youdomain.jks文件到Tomcat安装目录下的conf目录,使用文本编辑器打开conf目录下的server.xml文件(操作前备份server.xml,以备错误时恢复)找到并修改以下内容

<!--      
<Connector port="8443" protocol="HTTP/1.1"               
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"    
clientAuth="false" sslProtocol="TLS" />    
-->

默认情况下<Connector port=”8443″……/>是被注释的,配置时需把“<!– –>”去掉,然后对其节点进行相应的修改,需区分tomcat版本来修改。

1) Tomcat 5版本:(由于该版本漏洞较多,建议立即升级到tomcat7或更高版本)

2)Tomcat 6/7/8版本
<Connector port="443" protocol="HTTP/1.1"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="keystore/www.youdomain.com.jks"  keystorePass="证书密码"
               clientAuth="false" sslProtocols = "TLS"/>
3) Tomcat 9版本:
<Connector port="443" protocol="HTTP/1.1"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="keystore/www.youdomain.com.jks"  keystorePass="证书密码"
               clientAuth="false" sslProtocols = "TLS" keyAlias="私钥别名"/>
参数说明:

port:端口号(默认https端口为443);

KeystoreFile:证书路径(例如:conf/name.jks);

KeystorePass:证书密码(上面合成时设置的密码);

KeyAlias:证书别名(Tomcat9和以上版本需要配置这个参数,别名为你的域名名称)

最后保存该配置文件,然后重启Tomcat后再次访问即可。

默认的SSL访问端口号为443,如果使用其他端口号,则您需要使https://yourdomain:port的方式来访问您的站点,防火墙要开放相应的port。

豫公网安备 41010502002682号

豫公网安备 41010502002683号