CA機構(gòu)成功簽發(fā)SSL證書后,我們可以將其下載并安裝到Tomcat服務(wù)器上。目前Tomcat服務(wù)器支持安裝PFX格式和JKS格式的SSL證書,本文主要介紹下安裝PFX格式SSL證書的操作步驟,希望對大家有所幫助。
成都創(chuàng)新互聯(lián)專注于成都做網(wǎng)站、網(wǎng)站制作、網(wǎng)頁設(shè)計、網(wǎng)站制作、網(wǎng)站開發(fā)。公司秉持“客戶至上,用心服務(wù)”的宗旨,從客戶的利益和觀點出發(fā),讓客戶在網(wǎng)絡(luò)營銷中找到自己的駐足之地。尊重和關(guān)懷每一位客戶,用嚴(yán)謹(jǐn)?shù)膽B(tài)度對待客戶,用專業(yè)的服務(wù)創(chuàng)造價值,成為客戶值得信賴的朋友,為客戶解除后顧之憂。
本文以安裝在Linux操作系統(tǒng)中的Tomcat 7為例,現(xiàn)已成功登錄到Tomcat服務(wù)器,且443端口已經(jīng)開啟,PFX格式證書也已下載到本地。
1、解壓已下載保存到本地的Tomcat證書文件。解壓后我們將看到文件夾中有以下文件:
證書文件(domain name.pfx) 密碼文件(pfx-password.txt)本文中證書名稱以domain name為示例。要注意的是,每次下載SSL證書都會產(chǎn)生新的密碼,該密碼是匹配本次下載的證書,如果需要更新證書文件,同時也需要更新匹配的密碼。
2、在Tomcat安裝目錄下,創(chuàng)建cert目錄,將解壓的證書和密碼文件拷貝到cert目錄下。
Tomcat安裝目錄與服務(wù)器環(huán)境有關(guān)。我們可以使用sudo find / -name *tomcat*命令,查詢Tomcat的安裝目錄。
3、修改配置文件server.xml(路徑:Tomcat安裝目錄/conf/server.xml),并保存。這里有以下兩種方式可以配置SSL連接器,選擇其中一種即可。
①Tomcat服務(wù)器自動選擇SSL證書的實現(xiàn)方式。
修改SSL連接器的屬性為以下內(nèi)容:
SSLEnabled=”true”
scheme=”https”
secure=”true”
keystoreFile=”Tomcat安裝目錄/cert/domain name.pfx” #證書名稱前需加上證書的絕對路徑,請使用您證書的文件名替換domain name。
keystoreType=”PKCS12″
keystorePass=”證書密碼” #請?zhí)鎿Q為密碼文件pfx-password.txt中的內(nèi)容。
clientAuth=”false”
SSLProtocol=”TLSv1.1 TLSv1.2 TLSv1.3″
ciphers=”TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256″/>
②手動指定SSL的實現(xiàn)方式。
我們可以在server.xml中移除以下代碼的注釋,指定使用JSSE實現(xiàn)方式:
port=”443″ maxThreads=”200″
scheme=”https” secure=”true” SSLEnabled=”true”
keystoreFile=”Tomcat安裝目錄/cert/domain name.pfx” keystorePass=”證書密碼”
clientAuth=”false” sslProtocol=”TLS”/>
4、配置web.xml文件,開啟http強制跳轉(zhuǎn)到https。在文件后添加以下內(nèi)容:
5、重啟Tomcat服務(wù)。
執(zhí)行以下命令,關(guān)閉Tomcat服務(wù):
./shutdown.sh
執(zhí)行以下命令,開啟Tomcat服務(wù):
./startup.sh
6、SSL證書安裝完畢后,我們可以通過訪問證書綁定域名的方式驗證證書是否安裝成功。
https://domain name #請將domain name替換成證書綁定的域名。
例如訪問https://www.idcspy.com/,能正常打開本站點頁面,且在網(wǎng)頁地址欄會出現(xiàn)小鎖圖標(biāo),表示SSL證書已安裝成功。