Tomcat SSL证书安装配置指南(普通版)
发布日期:2016-05-31
一、安装SSL服务器证书
1.1 获取SSl证书
最终沃通数字证书系统将会给您颁发证书文件(.zip)压缩格式,当中有包含五种证书格式如:
for Apache、for IIS、for Ngnix、for Tomcat、for Other Server;Tomcat 应用服务器上只需要 for Tomcat 里面的 JKS 证书文件即可。
图 1
1.2 安装SSL证书环境
首先访问Tomcat 官网(http://tomcat.apache.org/)当前可根据您的系统下载不同的应用程序包,我们以 Windows 系统为例。所以下载 Windows 版本的 apache-tomcat-7.0.29 版本。
下载Tomcat 解压到其中一个盘符下后,进入 apache-tomcat-7.0.29 根目录下找到 bin 文件中此执行文件 windows:“startup.bat”(linux:“startup.sh”),运行期间将出现如 图 2所示的命令提示符窗口。
图 2
启动执行文件后,我们将输入 Tomcat 应用服务默认的地址如:http://127.0.0.1:8080 图 3
图 3
若有出现Tomcat 默认此界面,则表示您当前的应用服务是正常可运行。
1.3 部署SSL证书
首先找到安装Tomcat 目录下该文件“Server.xml”,一般默认路径都是在Conf 文件夹中。然后用文本编辑器打开该文件,接着找到如下所示 图 4
图 4
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https"secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="keystore/SSL.jks" keystorePass="证书解压密码" />
(注意:不要直接拷贝所有配置,只需添加 keystoreFile,keystorePass 这两个参数即可!)
默认情况下<Connector port=“8443”……>是被注释的,我们可以把“<!-- -->”去掉,
然后对其节点进行相应的修改,比如:port:端口号;keystoreFile:证书路径(例如:conf/SSL.jks); keystorePass:证书密码。图 5
图 5
最后保存该配置文件,然后重启 Tomcat 后再次访问即可。如图 6
图 6
备注:安装完ssl 证书后部分服务器可能会有以下错误,请按照链接修复
a.加密协议和安全套件:https://bbs.wosign.com/thread-1284-1-1.html
b.部署https 页面后出现排版错误,或者提示网页有不安全的因素,可参考以下链接:
https://bbs.wosign.com/thread-1667-1-1.html
二、安装安全签章
(目前该安全签章只支持 OV 级以上证书使用)
2.1 安装中文签章
(注意:签章的显示需要外网环境,且 https 使用 443 端口)
您购买WoSign SSL证书后,将免费获得一个能直观地显示贵网站的认证信息的可信网站安全认证标识,能大大增强用户的在线信任,促成更多在线交易。所以,建议您在安装成功SSL证书后马上在网站的首页和其他页面中添加如下代码动态显示可信网站安全认证标识:
<SCRIPT LANGUAGE="JavaScript" TYPE="text/javascript" SRC="https://seal.wosign.com/tws.js"></SCRIPT>
2.2 安装英文签章
如果您希望在英文页面显示认证标识,则在英文页面添加如下代码:
<SCRIPT LANGUAGE="JavaScript" TYPE="text/javascript" SRC="https://seal.wosign.com/tws-en.js"></SCRIPT>
详细请访问:https://www.wosign.com/support/siteseal.htm
三、SSL证书的备份
请保存好收到的证书压缩包文件及密码,以防丢失
四、SSL证书的恢复
重复第 1.3 步操作即可。
技术支持热线 0755-26027828 / 0755-26027859
技术支持邮箱 support#wosign.com
沃通SSL论坛 http://bbs.wosign.com
沃通CA官网 http://www.wosign.com
要点:
1.cert文件夹放在tomcat根目录
2.server.xml中配置的位置是注释掉的,去掉注释,添加配置。
3.可能会出现SVN服务器占用443端口的问题,可以将svn的端口设置为8443
pfx格式的配置:
<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" keystoreFile="cert/214757160730663.pfx" keystoreType="PKCS12" keystorePass="214757160730663" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
jks格式的配置
( 1 ) 使用java jdk将PFX格式证书转换为JKS格式证书(windows环境注意在%JAVA_HOME%/jdk/bin目录下执行)
keytool -importkeystore -srckeystore 214757160730663.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS
把 214757160730663.pfx放在bin目录。
回车后输入JKS证书密码和PFX证书密码,强烈推荐将JKS密码与PFX证书密码相同,否则可能会导致Tomcat启动失败。
<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" keystoreFile="cert/214757160730663.jks" keystorePass="214757160730663" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
4.需要在阿里云安全组中配置443端口,https访问
注意:本文归作者所有,未经作者允许,不得转载
