Tocmat安装SSL证书

一、安装环境如下:

Linux版本:6.9

Tomcat版本:9.x

另外放开443端口的访问限制

二、本次试验SSL证书采购自阿里云上的GeoTrust 专业版 OV SSL

采购SSL证书注意以下几点:

1、域名类型:

通配符域名

大量子域名的超值选择!一张证书可以同时保障多个子域名的安全加固!

例如:*.aliyun.com的通配符证书只能对a.aliyun.com、b.aliyun.com域名进行保护。如果存在a.b.aliyun.com的域名需要购买*.b.aliyun.com的通配符证书

单域名

保护一个单页面网站,例如 domain.com、ssl.domain.com、ssl.ssl.domain.com ,如需要保护同根下的所有子域名,请购买通配符证书。

多域名

一张证书可以为多个独立域名提供安全保障。

例如:一个多域名证书可以同时保障 aliyun.com、aliyunShop.com 和 taobao.com 的网站安全。

2、证书类型

OV SSL

一张证书可以为多个独立域名提供安全保障。

例如:一个多域名证书可以同时保障 aliyun.com、aliyunShop.com 和 taobao.com 的网站安全。

DV SSL

通过验证您的域名,为您颁发证书,保护客户数据安全,同时可提高您网站的搜索排名。

DV SSL是企业/个人为纯信息展示类网站获得公信力的基础保证,拥有它才意味着您的网站所有权已经过严格审查。

三、SSL证书配置步骤

将申请好的SSL证书下载解压

本文档证书名称以domain name为示例,例如:证书文件名称为domain name.pfx,证书密码文件名称为pfx-password.txt。

1、Tomcat 9强制要求证书别名设置为tomcat。您需要使用以下keytool命令将protocol="HTTP/1.1"转换成protocol="org.apache.coyote.http11.Http11NioProtocol"

keytool -changealias -keystore domain name.pfx -alias alias -destalias tomcat

2、在Tomcat安装目录下新建cert目录,将解压的证书和密码文件拷贝到cert目录下。

3、修改配置文件server.xml,并保存。文件路径:Tomcat安装目录/conf/server.xml

  A:修改大约69行:如下所示

<Connector port="80" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="443" />

  B:注释以下内容

<!--
<Connector  port="8443"
protocol="HTTP/1.1"
  port="8443" SSLEnabled="true"
  maxThreads="150" scheme="https" secure="true"
  clientAuth="false" sslProtocol="TLS" />
-->

  C:参照以下内容修改<Connector port="443"标签内容。

<Connector port="443"   #port属性根据实际情况修改(https默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="Tomcat安装目录/cert/domain name.pfx" #证书名称前需加上证书的绝对路径,请使用您证书的文件名替换domain name。
    keystoreType="PKCS12"
    keystorePass="证书密码"  #请替换为密码文件pfx-password.txt中的内容。
   keyAlias="tomcat" clientAuth
="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

注:.pfx默认别名是alias,前面第一步已经更改过别名了。

 keytool -keystore XXX.pfx -list

然后输入密码,可以查看相关的证书的别名,类型等

  D:然后重启Tomcat

通过浏览器访问domain name。查看HTTPS访问是否正常

posted @ 2020-06-16 12:03  启云  阅读(267)  评论(0编辑  收藏  举报