阿里云服務器綁定https
|
安裝證書 Tomcat支持JKS格式證書,從Tomcat7開始也支持PFX格式證書,兩種證書格式任選其一。 文件說明:
1、證書格式轉換 在Tomcat的安裝目錄下創建cert目錄,并且將下載的全部文件拷貝到cert目錄中。如果申請證書時是自己創建的CSR文件,附件中只包含214043592950638.pem文件,還需要將私鑰文件拷貝到cert目錄,命名為214043592950638.key;如果是系統創建的CSR,請直接到第2步。 到cert目錄下執行如下命令完成PFX格式轉換命令,此處要設置PFX證書密碼,請牢記: openssl pkcs12 -export -out 214043592950638.pfx -inkey 214043592950638.key -in 214043592950638.pem 2、PFX證書安裝 找到安裝Tomcat目錄下該文件server.xml,一般默認路徑都是在 conf 文件夾中。找到 <Connection port="8443" 標簽,增加如下屬性: keystoreFile="cert/214043592950638.pfx" keystoreType="PKCS12" #此處的證書密碼,請參考附件中的密碼文件或在第1步中設置的密碼 keystorePass="證書密碼" 完整的配置如下,其中port屬性根據實際情況修改:
<Connector port="8443"
protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="cert/214043592950638.pfx"
keystoreType="PKCS12"
keystorePass="證書密碼"
clientAuth="false"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4"/>
3、JKS證書安裝(幫助) ( 1 ) 使用java jdk將PFX格式證書轉換為JKS格式證書(windows環境注意在%JAVA_HOME%k/bin目錄下執行) keytool -importkeystore -srckeystore 214043592950638.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS 回車后輸入JKS證書密碼和PFX證書密碼,強烈推薦將JKS密碼與PFX證書密碼相同,否則可能會導致Tomcat啟動失敗。 ( 2 ) 找到安裝 Tomcat 目錄下該文件Server.xml,一般默認路徑都是在 conf 文件夾中。找到 <Connection port="8443" 標簽,增加如下屬性: keystoreFile="cert/your-name.jks" keystorePass="證書密碼" 完整的配置如下,其中port屬性根據實際情況修改:
<Connector port="8443"
protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="cert/your-name.jks"
keystorePass="證書密碼"
clientAuth="false"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4"/>
( 注意:不要直接拷貝所有配置,只需添加keystoreFile,keystorePass等參數即可,其它參數請根據自己的實際情況修改 ) 4、 重啟 Tomcat。 5、 通過https 方式訪問您的站點,測試站點證書的安裝配置,如遇到證書不信任問題,請查看相關文檔。 |
