阿里云轻量应用服务器-阿里云ECS-CentOS系统Tomcat 8.5如何部署SSL证书

操作步骤
1、解压Tomcat证书。
在Tomcat安装目录下新建cert目录，将下载的证书和密码文件拷贝到cert目录下。

2、打开Tomcat/conf/server.xml，在server.xml文件中找到以下参数并进行修改。

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" />

 #找到以上参数，去掉<!- - 和 - ->这对注释符并修改为如下参数，对HTTPS默认端口进行配置：
 <Connector port="80" protocol="HTTP/1.1"   #将Connector port修改为80。
               connectionTimeout="20000"
               redirectPort="443" />    #将redirectPort修改为SSL默认端口443，让HTTPS请求转发到443端口。

<Connector port="8443"
      protocol="org.apache.coyote.http11.Http11NioProtocol"
      maxThreads="150"
      SSLEnabled="true">
    <SSLHostConfig>
        <Certificate       certificateKeystoreFile="cert/keystore.pfx"
         certificateKeystorePassword="XXXXXXX"
                     certificateKeystoreType="PKCS12" />

#找到以上参数，去掉<!- - 和 - ->这对注释符并修改为如下参数：
<Connector port="443"   #将Tomcat中默认的HTTPS端口Connector port 8443修改为443。8443端口不可通过域名直接访问、需要在域名后加上端口号；443端口是HTTPS的默认端口，可通过域名直接访问，无需在域名后加端口号。
      protocol="org.apache.coyote.http11.Http11NioProtocol"   #server.xml文件中Connector port有两种运行模式（NIO和APR），请选择NIO模式（也就是protocol="org.apache.coyote.http11.Http11NioProtocol"）这一段进行配置。
      maxThreads="150"
      SSLEnabled="true">
    <SSLHostConfig>
        <Certificate       certificateKeystoreFile="/usr/local/tomcat/cert/证书域名.pfx"   #此处certificateKeystoreFile代表证书文件的路径，请用您证书的路径+文件名替换证书域名.pfx，例如：certificateKeystoreFile="/usr/local/tomcat/cert/abc.com.pfx"
         certificateKeystorePassword="证书密码"   #此处certificateKeystorePassword为SSL证书的密码，请用您证书密码文件pfx-password.txt中的密码替换，例如：certificateKeystorePassword="bMNML1Df"
         certificateKeystoreType="PKCS12" />   #证书类型为PFX格式时，certificateKeystoreType修改为PKCS12。
    </SSLHostConfig>
</Connector>

3、保存server.xml文件配置。

4、（可选步骤）在web.xml文件最底部添加以下内容，实现HTTP自动跳转为HTTPS。

<security-constraint> 
         <web-resource-collection > 
              <web-resource-name >SSL</web-resource-name>  
              <url-pattern>/*</url-pattern> 
       </web-resource-collection> 
       <user-data-constraint> 
                    <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
       </user-data-constraint> 
    </security-constraint>

5、重启Tomcat服务。
在Tomcat下的bin目录中执行./shutdown.sh关闭Tomcat服务。关闭Tomcat服务
在Tomcat下的bin目录中执行./startup.sh开启Tomcat服务。开启Tomcat服务
后续操作
Tomcat服务重启成功后，可在浏览器中输入您SSL证书绑定的域名https://www.YourDomainName.com验证证书安装结果。浏览器地址栏显示绿色的小锁标识说明证书安装成功。

参考文献：https://help.aliyun.com/document_detail/102939.html?spm=a2c4g.11186623.2.15.127c4b20RFH8Dp#concept-i2b-cdb-mgb