技術標籤：阿里雲伺服器

阿里雲SSL證書服務支援下載證書安裝到Tomcat伺服器上。

Tomcat支援PFX格式和JKS兩種格式的證書，您可根據您Tomcat的版本擇其中一種格式的證書安裝到Tomcat上。本文件介紹了PFX格式證書安裝的具體步驟。

前提條件

• 您的Tomcat伺服器上已經開啟了443埠（HTTPS服務的預設埠）。
• 已安裝OpenSSL工具。
• 已下載Tomcat伺服器所需要的證書檔案。有關證書下載的具體操作，請參見下載證書。說明
  • 申請證書時如果未選擇系統自動建立CSR，證書下載壓縮包中將不包含.txt檔案。需要您選擇其他型別伺服器下載.crt證書，並使用openssl命令生成pfx檔案。
  • 如果您自己擁有其他證書，可使用openssl命令將您自己的證書檔案轉化為相應格式的檔案，安裝到Tomcat伺服器上。
• 已登入您的Tomcat伺服器。

背景資訊

• 本文教程以Tomcat 7為例。
• Tomcat 9強制要求證書別名設定為tomcat。您需要使用以下keytool命令將protocol="HTTP/1.1"轉換成protocol="org.apache.coyote.http11.Http11NioProtocol"。放大檢視複製程式碼

  keytool -changealias -keystore domain name.pfx -alias alias -destalias tomcat
• 本文件證書名稱以domain name為示例，例如：證書檔名稱為domain name.pfx，證書密碼檔名稱為pfx-password.txt。

操作步驟

1. 解壓已下載儲存到本地的Tomcat證書檔案。解壓後您將看到資料夾中有2個檔案，您可為兩個證書檔案重新命名。
   • 證書檔案（domain name.pfx）：以.pfx為字尾或檔案型別。
   • 密碼檔案（pfx-password.txt）：以.txt為字尾或檔案型別。
   

   說明每次下載證書都會產生新的密碼，該密碼僅匹配本次下載的證書。如果需要更新證書檔案，同時也要更新匹配的密碼。

2. 在Tomcat安裝目錄下新建cert目錄，將解壓的證書和密碼檔案拷貝到cert
   目錄下。
3. 修改配置檔案server.xml，並儲存。檔案路徑：Tomcat安裝目錄/conf/server.xml
   1. 去掉以下內容的註釋：放大檢視複製成功

      <Connector  port="8443"
      protocol="HTTP/1.1"
        port="8443" SSLEnabled="true"
        maxThreads="150" scheme="https" secure="true"
        clientAuth="false" sslProtocol="TLS" />

   2. 參照以下內容修改<Connector port="443"標籤內容。放大檢視複製成功

      <Connector port="443"   #port屬性根據實際情況修改（https預設埠為443）。如果使用其他埠號，則您需要使用https://yourdomain:port的方式來訪問您的網站。
          protocol="HTTP/1.1"
          SSLEnabled="true"
          scheme="https"
          secure="true"
          keystoreFile="Tomcat安裝目錄/cert/domain name.pfx" #證書名稱前需加上證書的絕對路徑，請使用您證書的檔名替換domain name。
          keystoreType="PKCS12"
          keystorePass="證書密碼"  #請替換為密碼檔案pfx-password.txt中的內容。
          clientAuth="false"
          SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
          ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

4. 可選：配置web.xml檔案，開啟HTTP強制跳轉HTTPS。在檔案</welcome-file-list>後新增以下內容：放大檢視複製成功

   <login-config>  
       <!-- Authorization setting for SSL -->  
       <auth-method>CLIENT-CERT</auth-method>  
       <realm-name>Client Cert Users-only Area</realm-name>  
   </login-config>  
   <security-constraint>  
       <!-- Authorization setting for SSL -->  
       <web-resource-collection >  
           <web-resource-name >SSL</web-resource-name>  
           <url-pattern>/*</url-pattern>  
       </web-resource-collection>  
       <user-data-constraint>  
           <transport-guarantee>CONFIDENTIAL</transport-guarantee>  
       </user-data-constraint>  
   </security-constraint>

5. 重啟Tomcat。
   1. 執行以下命令關閉Tomcat伺服器。放大檢視複製程式碼

      ./shutdown.sh

   2. 執行以下命令開啟Tomcat伺服器。放大檢視複製程式碼

      ./startup.sh

後續操作

證書安裝完成後，可通過登入證書繫結域名的方式驗證證書是否安裝成功。放大檢視複製程式碼

https://domain name.com   #domain name替換成證書繫結的域名。

如果網頁位址列出現綠色小鎖標誌，表示證書安裝成功。

驗證證書是否安裝成功時，如果網站無法通過https正常訪問，需確認您安裝證書的伺服器443埠是否已開啟或被其他工具攔截。

相關文件

在Tomcat伺服器上安裝JKS格式的證書

CentOS系統Tomcat 8.5/9部署SSL證書

Ubuntu系統Apache 2部署SSL證書

我獲取到的數字證書如何配置在自己的Apache中？

在Nginx/Tengine伺服器上安裝證書

在IIS伺服器上安裝SSL證書

在Jetty伺服器上安裝SSL證書

以上內容對您有幫助嗎？