本文档指导您如何在 Tomcat 服务器中安装 SSL 证书。
说明:
本文档以证书名称www.huweissl.com 为例。
Tomcat 版本以 tomcat9.0.40 为例。
当前服务器的操作系统为 CentOS 7,由于操作系统的版本不同,详细操作步骤略有区别。
安装 SSL 证书前,请您在 Tomcat 服务器上开启 “443” 端口,避免证书安装后无法启用 HTTPS。具体可参考 服务器如何开启443端口?
已准备文件远程拷贝软件,例如 WinSCP(建议从官方网站获取最新版本)。
已准备远程登录工具,例如 PuTTY 或者 Xshell(建议从官方网站获取最新版本)。
已在当前服务器中安装配置 Tomcat 服务。
安装 SSL 证书前需准备的数据如下:
名称 | 说明 |
服务器的 IP 地址 | 服务器的 IP 地址,用于 PC 连接到服务器。 |
用户名 | 登录服务器的用户名。 |
密码 | 登录服务器的密码。 |
操作步骤
已在 护卫SSL会员中心 证书管理控制台 中下载并解压缩www.huweissl.com 证书文件包到本地目录。
解压缩后,可获得相关类型的证书文件。其中包含 Tomcat 文件夹和 CSR 文件:
文件夹名称:Tomcat
文件夹内容:
www.huweissl.com.jks 密钥库
keystorePass.txt 密码文件(若已设置私钥密码,则无 keystorePass.txt 密码文件)
CSR 文件内容:www.huweissl.com.csr 文件
说明:
CSR 文件是申请证书时由您上传或系统在线生成的,提供给 CA 机构。安装时可忽略该文件。
使用 “WinSCP” (即本地与远程计算机间的复制文件工具)登录 Tomcat 服务器。
将已获取到的www.huweissl.com.jks 密钥库文件从本地目录拷贝至 /usr/*/conf 目录下。
远程登录 Tomcat 服务器。例如,使用 “PuTTY” 工具 登录。
编辑在 /usr/*/conf 目录下的 server.xml 文件。添加如下内容:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"#证书保存的路径
keystoreFile="/usr/*/conf/www.huweissl.com.jks" #密钥库密码
keystorePass="******"
clientAuth="false"/>
详细 server.xml 文件请参考如下内容:
注意:
不建议您直接复制 server.xml 文件内容,避免格式有误。
<?xml version="1.0" encoding="UTF-8"?><Server port="8005" shutdown="SHUTDOWN"><Listener className="org.apache.catalina.startup.VersionLoggerListener" /><Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" /><Listener className="org.apache.catalina.core.JreMemoryLeakPreventionListener" /><Listener className="org.apache.catalina.mbeans.GlobalResourcesLifecycleListener" /><Listener className="org.apache.catalina.core.ThreadLocalLeakPreventionListener" /><GlobalNamingResources><Resource name="UserDatabase" auth="Container"
type="org.apache.catalina.UserDatabase"
description="User database that can be updated and saved"
factory="org.apache.catalina.users.MemoryUserDatabaseFactory"
pathname="conf/tomcat-users.xml" /></GlobalNamingResources><Service name="Catalina">
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />
<Connector port="443" protocol="HTTP/1.1"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false"
keystoreFile="/usr/*/conf/www.huweissl.com.jks"
keystorePass="******" /><Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /><Engine name="Catalina" defaultHost="www.huweissl.com">
<Realm className="org.apache.catalina.realm.LockOutRealm">
<Realm className="org.apache.catalina.realm.UserDatabaseRealm"
resourceName="UserDatabase"/>
</Realm><Host name="www.huweissl.com" appBase="webapps"
unpackWARs="true" autoDeploy="true" >
<Context path="" docBase ="Knews" /><Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log" suffix=".txt"
pattern="%h %l %u %t "%r" %s %b" />
</Host></Engine></Service></Server>
配置文件的主要参数说明如下:
keystoreFile:密钥库文件的存放位置,可以指定绝对路径,也可以指定相对于 <CATALINA_HOME> (Tomcat 安装目录)环境变量的相对路径。如果此项没有设定,默认情况下,Tomcat 将从当前操作系统用户的用户目录下读取名为 “.keystore” 的文件。
keystorePass:密钥库密码,指定 keystore 的密码。申请证书时若设置了私钥密码,请填写私钥密码;若申请证书时未设置私钥密码,请填写 Tomcat 文件夹中 keystorePass.txt 文件的密码。
clientAuth:如果设为 true,表示 Tomcat 要求所有的 SSL 客户出示安全证书,对 SSL 客户进行身份验证。
确认 Tomcat 服务器是否启动。
./shutdown.sh (关闭 Tomcat 服务器)
./startup.sh (启动 Tomcat 服务器)
./startup.sh
若启动成功,即可使用 https://www.huweissl.com 进行访问。
如果您需要将 HTTP 请求自动重定向到 HTTPS。您可以通过以下操作设置:
编辑
