SSL证书 TOMCAT7.0部署

1. 1

   安装JDK&Tomcat（仅针对没有安装的用户）

   安装过程比较简单，采取默认方式安装即可，如有需要可以修改安装的目录。

2. 2

   生成keystore文件

   生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK或JRE下的bin目录，运行keytool命令（示例中粗体部分为可自定义部分，可根据实际配置情况相应修改）。

   keytool -genkey -alias gdca -keyalg RSA -keysize 2048 -keystore D:\gdca.jks

    

    

   
3. 3

   以上命令中，gdca为私钥别名(-alias)，生成的gdca.jks文件默认放在D盘根目录下。

4. 4

   注意：

    

   1、请务必根据提示录入全部项目，并保证其准确性

   2、若输出路径含有空格，需使用英文状态下的双引号括起来

   3、keystore密码至少6个字符,若电脑安装了JDK 6或以上版本，密码输入时不会显示；若安装了JDK 5版本，密码输入时将可能出现明文显示，请务必注意并牢记此密码，尤其含有大小写字母的情况

   4、下文涉及到keytool工具输入的密码均为此密码

   5、如组织名称含有逗号，录入时不用输入引号，一般系统会在下面提示信息中的组织名称自动添加引号，请务必查看；如发现没有引号，请关闭命令行窗口，然后打开一个新窗口重新操作；

   6、提示输入主密码时直接按回车即可，保证keystore密码与gdca主密码一致

    

5. 5

   生成证书请求文件(CSR)

   keytool -certreq -alias gdca -sigalg SHA256withRSA -file D:\certreq.csr -keystore D:\gdca.jks

   请备份密钥库文件gdca.jks，将证书请求文件certreq.csr提交给GDCA，等待证书签发。如密钥库文件gdca.jks丢失，会导致证书不可用。如下图：

    

   
   END

导入服务器证书

 

1. 1

   由于TOMCAT需要证书格式为JKS文件，所以需要把证书合成JKS格式后方可上传配置。由于不同的证书公司颁发给用户的证书链不一样，有的里面是一张，有的里面是两张，所以用GDCA公司的证书为例，颁发给用户的除了所申请的企业证书外还有一张根证书GDCA_TrustAUTH_R5_ROOT.cer和相应的CA证书，如果您申请的是睿信(OV) SSL证书（Organization Validation SSL Certificate），CA证书文件就是GDCA_TrustAUTH_R4_SSL_CA.cer；如果您申请的是恒信企业EV SSL证书（Extended Validation SSL Certificate），CA证书就是文件就是GDCA_TrustAUTH_R4_Extended_Validation_SSL_CA.cer

   

   
2. 2

   注意：根证书和业务证书下载时需要观察证书是不是base64编码的证书，如果不是，请把证书改成base64后再进行合成。如下图：

   
3. 3

   进入JDK安装目录下的bin目录，运行keytool -list -keystore d:\gdca.jks查询keystore文件信息。

   
4. 4

   导入根证书：

   导入前将GDCA TrustAUTH R5 ROOT.cer文件改名为ca1.cer，用户可以修改为其他容易记忆的名字。

   keytool -import -alias ca1 -keystore D:\gdca.jks -trustcacerts -file D:\ca1.cer -noprompt

5. 5

   导入CA证书

   导入前将GDCA TrustAUTH R4 Extended Validation SSL CA.cer或GDCA TrustAUTH R4 SSL CA.cer文件改名为ca2.cer，用户可以修改为其他容易记忆的名字。

   keytool -import -alias ca2 -keystore D:\gdca.jks -trustcacerts -file D:\ca2.cer -noprompt

   
6. 6

   导入前将服务器证书文件改成容易记忆的名字，例如：server.cer。

   命令：keytool -import -alias gdca -keystore D:\gdca.jks -trustcacerts -file D:\server.cer

   
7. 7

   导入服务器证书时，服务器证书的别名必须和私钥别名一致。证书导入完成，运行keytool -list -keystore D:\gdca.jks，再次查看keystore文件内容

   
   END

安装服务器证书

 

1.  

   配置Tomcat（操作前备份server.xml，以备错误时恢复）

   复制已正确导入认证回复的gdca.jks文件到Tomcat安装目录下的conf目录，使用文本编辑器打开conf目录下的server.xml文件，找到并修改以下内容

   <!--

      <Connector port="8443"……/>

   -->

   默认情况下<Connector port="8443"……/>是被注释的，配置时需把“<!-- -->”去掉，然后对其节点进行相应的修改，需区分tomcat版本来修改。

   
2. 2

   默认的SSL访问端口号为443，如果使用其他端口号，则您需要使用https://yourdomain:port的方式来访问您的站点，防火墙要开放相应的port。

3. 3

   测试访问：

   服务器若部署了睿信SSL证书，浏览器访问时将出现安全锁标志；若部署了恒信企业EV SSL证书，浏览器除了显示安全锁标志，地址栏会变成绿色，如下图：

   

4.