锐成信息 · 在线帮助文档
Tomcat服务器上安装SSL证书?
更新时间: 2020-04-21 09:50:09
Tomcat支持PFX格式和JKS两种格式的证书,您可根据您Tomcat的版本择其中一种格式的证书安装到Tomcat上。
一、 安装PFX格式证书
1、 根据《证书文件介绍及安装前准备》文档转换证书格式,准备好PFX格式的证书;
2、 在Tomcat安装目录下新建cert目录,将证书文件拷贝到cert目录下。
3、 打开Tomcat > conf > server.xml文件,在server.xml文件中添加以下属性(其中port属性请根据您的实际情况修改,其中protocol建议为:
protocol="org.apache.coyote.http11.Http11Protocol"):
<Connector port="443"
protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="domain name.pfx" #此处keystoreFile代表证书文件的路径,请用您证书的文件名替换domain name。
keystoreType="PKCS12"
keystorePass="证书密码" #请用您证书密码替换文件中的内容。
clientAuth="false"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
4、 保存server.xml文件配置。
5、 (可选步骤)配置web.xml文件开启HTTP强制跳转HTTPS。
#在</welcome-file-list>后添加以下内容:
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
6、 重启Tomcat。
二、 安装JKS格式证书
1、 转换证书格式为JKS:
1) 输入以下java JDK命令将PFX格式的证书转换成JKS格式:
keytool -importkeystore -srckeystore domain name.pfx -destkeystore domain name.jks -srcstoretype PKCS12 -deststoretype JKS
说明: Windows系统中,需在 %JAVA_HOME%/jdk/bin目录下执行该命令。
2) 利用转换工具:https://www.racent.com/cert-convert。(原格式选PEM)
2、 回车后输入PFX证书密码和JKS证书密码。
说明: JKS证书密码等同于PFX证书密码。两个密码不同的时候会导致Tomcat重启失败。
3、 在Tomcat安装目录下新建cert目录,将证书和密码文件拷贝到cert目录下。
4、 打开Tomcat安装目录 > conf文件夹 > server.xml文件,在server.xml文件中找到 <Connector port=”443”标签并添加以下参数:
keystoreFile="cert/domain name.jks" #此处keystoreFile代表证书文件的路径,请用您证书的文件名替换cert/后面的内容。
keystoreType="PKCS12"
keystorePass="证书密码" #请输入您的证书密码。
参考以下完整配置(其中port属性请根据您的实际情况修改):
<Connector port="443"
protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="cert/domain name.jks"
keystoreType="PKCS12"
keystorePass="证书密码"
clientAuth="false"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256
/>
5、 保存server.xml文件配置。
6、 重启Tomcat。
相关文档
- 如何在Mac邮件客户端配置使用S/MIME邮件证书
- 如何验证获取S/MIME邮件安全证书
- 如何在iOS设备中配置S/MIME邮件签名证书
- Sectigo邮件签名证书安装指南
- 如何在Apache和Nginx开启 OCSP Stapling
- 如何导出邮件签名证书?
- 阿里云负载均衡(SLB)SSL证书配置指南
- 申请SSL证书时如何设置IP地址白名单和邮箱白名单
- 如何对PDF文档进行数字签名
- 如何查看网站正在使用的SSL证书品牌
- Sectigo个人邮件签名流程
- 个人及个体商户申请Sectigo证书步骤
- Sectigo中间证书替换教程
- 如何在锐成申请IP地址SSL证书
- 如何在锐成平台自助购买证书
- 申请SSL证书常见问题总结
- 安装证书后HTTPS无法正常显示的原因有哪些
- 如何批量申请SSL证书
- 如何在锐成信息上自助申请DV SSL证书
- 申请SSL证书怎样做域名验证
- 如何申请 OV/EV SSL 证书?
- Sectigo SSL证书签发流程
- Digicert&Geotrust OV/EV SSL证书签发流程
- Sectigo代码签名证书申请流程
- Sectigo EV 代码签名证书签名指南
- 普通代码签名证书和EV代码签名证书的区别
- 如何重新签发SSL证书
- Sectigo SSL证书合并方法
- Digicert、Symantec和Geotrust证书合并及转换教程
- 如何转换SSL证书格式
- 如何将.crt证书文件转换为.cer格式
- Microsoft Windows 64位内核驱动签名(Sectigo)
- Exchange Server如何创建CSR
- Exchange Server 安装SSL证书
- Sharepoint安装SSL证书
- Tomcat服务器上安装SSL证书?
- Nginx服务器上安装SSL证书?
- IIS服务器上安装SSL证书?
- Apache服务器上安装SSL证书?
