Tomcat服務(wù)器安裝配置JKS格式SSL證書(shū)教程

網(wǎng)站部署SSLssl/' target='_blank'>證書(shū)是維護網(wǎng)站安全的關(guān)鍵，購買(mǎi)SSL證書(shū)后，提交可信的CA機構進(jìn)行審核，所有資料信息核實(shí)無(wú)誤后，CA會(huì )頒發(fā)證書(shū)，之后便可將其下載安裝到服務(wù)器上，比如Tomcat服務(wù)器。SSL證書(shū)有多種格式，先前小編介紹了如何在Tomcat服務(wù)器安裝PFX格式證書(shū)，今天主要介紹的是安裝JKS格式證書(shū)的相關(guān)步驟。

拓展閱讀：《Tomcat服務(wù)器安裝配置PFX格式SSL證書(shū)教程》

安裝JKS格式的SSL證書(shū)之前，我們需確保已成功登錄Tomcat服務(wù)器，https服務(wù)的默認端口443已經(jīng)開(kāi)啟，并且安裝了OpenSSL工具，JKS格式的SSL證書(shū)文件下載保存到本地計算機上，然后按照以下步驟開(kāi)始安裝SSL證書(shū)。

1、解壓已下載保存到本地的Tomcat證書(shū)文件。解壓后我們將看到文件夾中有以下文件：

• 證書(shū)文件（domain name.pfx）
• 密碼文件（pfx-password.txt）

本文中證書(shū)名稱(chēng)以domain name為示例。要注意的是，每次下載SSL證書(shū)都會(huì )產(chǎn)生新的密碼，該密碼是匹配本次下載的證書(shū)，如果需要更新證書(shū)文件，同時(shí)也需要更新匹配的密碼。

2、將PFX格式的證書(shū)轉換為JKS格式。輸入以下Java JDK命令：

keytool -importkeystore -srckeystore domain name.pfx -destkeystore domain name.jks -srcstoretype PKCS12 -deststoretype JKS

Windows系統中，需在%JAVA_HOME%/jdk/bin目錄下執行該命令。

然后回車(chē)后輸入PFX證書(shū)密碼，即密碼文件pfx-password.txt中的內容。

3、在Tomcat安裝目錄下新建cert目錄，將轉化后的證書(shū)文件和密碼文件拷貝到cert目錄下 。

4、修改配置文件server.xml。訪(fǎng)問(wèn)Tomcat安裝目錄/conf/server.xml目錄，打開(kāi)server.xml文件。

去掉server.xml中以下內容的注釋。

<Connector port=”8443″
protocol=”HTTP/1.1″
port=”8443″ SSLEnabled=”true”
maxThreads=”150″ scheme=”https” secure=”true”
clientAuth=”false” sslProtocol=”TLS” />

參照以下內容修改<Connector port=”443″標簽內容。

<Connector port=”443″ #port屬性根據實(shí)際情況修改（HTTPS默認端口為443）。如果使用其他端口號，則您需要使用https://yourdomain:port的方式來(lái)訪(fǎng)問(wèn)您的網(wǎng)站。
protocol=”HTTP/1.1″
SSLEnabled=”true”
scheme=”https”
secure=”true”
keystoreFile=”Tomcat安裝目錄/cert/domain name.jks” #證書(shū)名稱(chēng)前需加上證書(shū)的絕對路徑，請使用您證書(shū)的文件名替換domain name。
keystorePass=”證書(shū)密碼” #此處請替換為您證書(shū)密碼文件pfx-password.txt中的內容。
clientAuth=”false”
SSLProtocol=”TLSv1.1 TLSv1.2 TLSv1.3″
ciphers=”TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256″/>

修改完畢后，保存server.xml文件。

5、接下來(lái)可以選擇配置web.xml文件，開(kāi)啟http強制跳轉到https。在文件</welcome-file-list>后添加以下內容：

<login-config>
<!– Authorization setting for SSL –>
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!– Authorization setting for SSL –>
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>

6、重啟Tomcat服務(wù)。

執行以下命令，關(guān)閉Tomcat服務(wù)：

./shutdown.sh

執行以下命令，開(kāi)啟Tomcat服務(wù)：

./startup.sh

7、JKS格式的SSL證書(shū)安裝完成后，我們可通過(guò)瀏覽器訪(fǎng)問(wèn)證書(shū)綁定域名的方式來(lái)驗證該證書(shū)是否安裝成功。

例如，訪(fǎng)問(wèn)本站點(diǎn)（https://www.idcspy.com/），網(wǎng)站頁(yè)面可以正常打開(kāi)，并且在網(wǎng)頁(yè)地址欄有小鎖圖標，則表示該SSL證書(shū)已成功安裝。

來(lái)源鏈接：https://www.idcspy.com/46116.html

本站聲明:網(wǎng)站內容來(lái)源于網(wǎng)絡(luò ),如有侵權,請聯(lián)系我們,我們將及時(shí)處理。