Tocmat安装SSL证书

一、安装环境如下：

Linux版本：6.9

Tomcat版本：9.x

另外放开443端口的访问限制

二、本次试验SSL证书采购自阿里云上的GeoTrust 专业版 OV SSL

采购SSL证书注意以下几点：

1、域名类型：

通配符域名

大量子域名的超值选择！一张证书可以同时保障多个子域名的安全加固！

例如：*.aliyun.com的通配符证书只能对a.aliyun.com、b.aliyun.com域名进行保护。如果存在a.b.aliyun.com的域名需要购买*.b.aliyun.com的通配符证书

单域名

保护一个单页面网站，例如 domain.com、ssl.domain.com、ssl.ssl.domain.com ，如需要保护同根下的所有子域名，请购买通配符证书。

多域名

一张证书可以为多个独立域名提供安全保障。

例如：一个多域名证书可以同时保障 aliyun.com、aliyunShop.com 和 taobao.com 的网站安全。

2、证书类型

OV SSL

一张证书可以为多个独立域名提供安全保障。

例如：一个多域名证书可以同时保障 aliyun.com、aliyunShop.com 和 taobao.com 的网站安全。

DV SSL

通过验证您的域名，为您颁发证书，保护客户数据安全，同时可提高您网站的搜索排名。

DV SSL是企业/个人为纯信息展示类网站获得公信力的基础保证，拥有它才意味着您的网站所有权已经过严格审查。

三、SSL证书配置步骤

将申请好的SSL证书下载解压

本文档证书名称以domain name为示例，例如：证书文件名称为domain name.pfx，证书密码文件名称为pfx-password.txt。

1、Tomcat 9强制要求证书别名设置为tomcat。您需要使用以下keytool命令将protocol="HTTP/1.1"转换成protocol="org.apache.coyote.http11.Http11NioProtocol"

keytool -changealias -keystore domain name.pfx -alias alias -destalias tomcat

2、在Tomcat安装目录下新建cert目录，将解压的证书和密码文件拷贝到cert目录下。

3、修改配置文件server.xml，并保存。文件路径：Tomcat安装目录/conf/server.xml

　　A：修改大约69行：如下所示

<Connector port="80" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="443" />

　　B：注释以下内容

<!--
<Connector  port="8443"
protocol="HTTP/1.1"
  port="8443" SSLEnabled="true"
  maxThreads="150" scheme="https" secure="true"
  clientAuth="false" sslProtocol="TLS" />
-->

　　C：参照以下内容修改<Connector port="443"标签内容。

<Connector port="443"   #port属性根据实际情况修改（https默认端口为443）。如果使用其他端口号，则您需要使用https://yourdomain:port的方式来访问您的网站。
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="Tomcat安装目录/cert/domain name.pfx" #证书名称前需加上证书的绝对路径，请使用您证书的文件名替换domain name。
    keystoreType="PKCS12"
    keystorePass="证书密码"  #请替换为密码文件pfx-password.txt中的内容。
　　 keyAlias="tomcat"
    clientAuth="false"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

注：.pfx默认别名是alias，前面第一步已经更改过别名了。

 keytool -keystore XXX.pfx -list

然后输入密码，可以查看相关的证书的别名，类型等

　　D：然后重启Tomcat

通过浏览器访问domain name。查看HTTPS访问是否正常