前言

HTTPS = HTTP + SSL

這個等式很有意思 十分簡單得表達了：想要搞https,ssl證書是必要的。

    之前一直使用的startcom的ssl，因為火狐，谷歌，蘋果等瀏覽器紛紛對其不信任，只能尋找其他的替代品，
    同學推薦letsencrypt，去裝了一下，告訴我要更新pip到9.0，好煩果斷棄之.之後發現百度雲居然有免費的SSL證書業務,開心申請好了ssl證書,等到要下載證書的時候傻眼了

為了加強證書管理，確保免費版證書不被濫用，免費版證書不會發送證書資訊到您的個人郵箱，您只可通過百度雲的產品使用免費證書服務。

    誒,好坑啊!找了好久,終於找到了一款免費方便的SSL證書服務平臺-騰訊雲,沒想到吧騰訊手可真長。
 

申請

• 註冊實名認證
  
  • 直接QQ登入,如果QQ實名認證了就簡單了直接一鍵通過。
• 申請證書
  
  • 在下圖位置進入
    
  • 
  • 注意這裡的私鑰密碼一定要填，不填的話之後還要專門為其新增密碼（部署tomcat需要）[注1(2018/3)]
    
  • 域名身份認證 按要求新增TXT域名解析就好了，

上面步驟結束之後基本上證書就可以直接下載了（秒審批通過）

Tomcat 證書部署

配置SSL聯結器，將www.domain.com.jks檔案存放到conf目錄下，然後配置同目錄下的server.xml檔案：

<Connector port="443" protocol="HTTP/1.1" SSLEnabled
 
="true"
    maxThreads="150" scheme="https" secure="true"
    keystoreFile="conf\www.domain.com.jks"
    keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

http自動跳轉https的安全配置

到conf目錄下的web.xml。在</welcome-file-list>後面，</web-app>，也就是倒數第二段裡，加上這樣一段

<web-resource-collection
 
 >
    <web-resource-name >SSL</web-resource-name>
    <url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>

這步目的是讓非ssl的connector跳轉到ssl的connector去。所以還需要前往server.xml進行配置：

<Connector port="8080" protocol="HTTP/1.1"
    connectionTimeout="20000"
    redirectPort="443" />

redirectPort改成ssl的connector的埠443，重啟後便會生效。

其他類的伺服器部署方案可以參考
官方的API文件

[注1(2018/3)]
轉眼間一年就過去了,又要重新申請證書了,我在申請的時候忘記在這步新增密碼了,那麼在上文server.xml中密碼欄填寫下載檔案裡的keystorePass.txt中的密碼,然後覆蓋infor.changxinsoft.cn.jks檔案,重啟伺服器就OK了;