您现在的位置是:首页 > 博客日记 > Liunx Liunx

tomcat 配置https证书 PFX格式证书

2021-06-01 22:01:51 【Liunx】 人已围观

1.购买第三方阿里云购买的证书

2.安装PFX格式证书

解压已下载保存到本地的Tomcat证书文件。
解压后您将看到文件夹中有2个文件,您可为两个证书文件重命名。

  1. 证书文件(domain name.pfx):以PFX为文件类型。
  2. 密码文件(pfx-password.txt):以TXT为文件类型。

说明 每次下载证书都会产生新的密码,该密码仅匹配本次下载的证书。如果需要更新证书文件,同时也要更新匹配的密码。

在Tomcat安装目录下新建cert目录,将解压的证书和密码文件拷贝到cert目录下。
修改配置文件server.xml(路径:Tomcat安装目录/conf/server.xml),并保存。
去掉以下内容的注释:

  1. <Connector port="8443"
  2. protocol="HTTP/1.1"
  3. SSLEnabled="true"
  4. maxThreads="150" scheme="https" secure="true"
  5. clientAuth="false" sslProtocol="TLS" />

参照以下内容修改<Connector port=”443”标签内容。

  1. <Connector port="443" #port属性根据实际情况修改(https默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。
  2. protocol="HTTP/1.1"
  3. SSLEnabled="true"
  4. scheme="https"
  5. secure="true"
  6. keystoreFile="Tomcat安装目录/cert/domain name.pfx" #证书名称前需加上证书的绝对路径,请使用您证书的文件名替换domain name
  7. keystoreType="PKCS12"
  8. keystorePass="证书密码" #请替换为密码文件pfx-password.txt中的内容。
  9. clientAuth="false"
  10. SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
  11. ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

可选:配置web.xml文件,开启HTTP强制跳转HTTPS。
在文件</welcome-file-list>后添加以下内容:

  1. <login-config>
  2. <!-- Authorization setting for SSL -->
  3. <auth-method>CLIENT-CERT</auth-method>
  4. <realm-name>Client Cert Users-only Area</realm-name>
  5. </login-config>
  6. <security-constraint>
  7. <!-- Authorization setting for SSL -->
  8. <web-resource-collection >
  9. <web-resource-name >SSL</web-resource-name>
  10. <url-pattern>/*</url-pattern>
  11. </web-resource-collection>
  12. <user-data-constraint>
  13. <transport-guarantee>CONFIDENTIAL</transport-guarantee>
  14. </user-data-constraint>
  15. </security-constraint>

重启Tomcat。

执行以下命令关闭Tomcat服务器。
./shutdown.sh
执行以下命令开启Tomcat服务器。
./startup.sh

后续操作

证书安装完成后,可通过登录证书绑定域名的方式验证证书是否安装成功。
https://domain name.com #domain name替换成证书绑定的域名。

如果网页地址栏出现绿色小锁标志,表示证书安装成功。

验证证书是否安装成功时,如果网站无法通过https正常访问,需确认您安装证书的服务器443端口是否已开启或被其他工具拦截。

摘自于阿里云部署tomcat ssl证书



关注TinyMeng博客,更多精彩分享,敬请期待!
 

很赞哦! ()