Tomcat 繫結https證書
阿新 • • 發佈:2018-11-27
此文環境是centos 6.8, tomcat8, https是用的阿里雲的免費dv證書,tomcat繫結的是pfx證書(Tomcat支援JKS格式證書,從Tomcat7開始也支援PFX格式證書,兩種證書格式任選其一)。
此問目的是在開發小程式的時候需要配置https環境,且https使用的ssl必須在TLS1.2或以上,於是寫了本文。Tomcat域名配置參考我另一篇文章
在申請到阿里雲的免費DV證書後,下載 "證書 for Tomcat",
檔案說明:
1. 證書檔案214054375370509.pem,包含兩段內容,請不要刪除任何一段內容。
2. 如果是證書系統建立的CSR,還包含:證書私鑰檔案214054375370509.key、PFX格式證書檔案214054375370509.pfx、PFX格式證書密碼檔案pfx-password.txt。
1、證書格式轉換
在Tomcat的安裝目錄下建立cert目錄,並且將下載的全部檔案拷貝到cert目錄中。如果申請證書時是自己建立的CSR檔案,附件中只包含214054375370509.pem檔案,還需要將私鑰檔案拷貝到cert目錄,命名為214054375370509.key;如果是系統建立的CSR,請直接到第2步。
到cert目錄下執行如下命令完成PFX格式轉換命令,此處要設定PFX證書密碼,請牢記:
openssl pkcs12 -export -out 214054375370509.pfx -inkey 214054375370509.key -in 214054375370509.pem
2、PFX證書安裝
找到安裝Tomcat目錄下該檔案server.xml,一般預設路徑都是在 conf 資料夾中。找到 <Connection port="8443" 標籤,增加如下屬性:
keystoreFile="cert/214054375370509.pfx" keystoreType="PKCS12" #此處的證書密碼,請參考附件中的密碼檔案或在第1步中設定的密碼 keystorePass="證書密碼"
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="cert/214054375370509.pfx" keystoreType="PKCS12" keystorePass="證書密碼" clientAuth="false" ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4"/>