您可以将下载的证书安装到Tomcat服务器上。Tomcat支持PFX格式和JKS两种格式的证书,您可根据您Tomcat的版本择其中一种格式的证书安装到Tomcat上。
前提条件
申请证书时需要选择 系统自动创建CSR。申请证书时如果选择手动创建CSR,则不会生成证书文件。您需要选择其他服务器下载.crt文件后,使用openssl命令将.crt文件的证书转换成.pfx格式。
本文档证书名称以domain name为示例,如证书文件名称为domain name.pfx。
操作指南
- 登录阿里云SSL证书控制台。
-
在SSL证书页面,点击已签发标签,定位到需要下载的证书并单击证书卡片右下角的下载打开证书下载对话框。
- 在证书下载对话框中定位到Tomcat服务器,并单击右侧操作栏的下载将Tomcat版证书压缩包下载到本地。
-
解压Tomcat证书。
您将看到文件夹中有2个文件:
- 证书文件(以.pfx为后缀或文件类型)
- 密码文件(以.txt为后缀或文件类型)
说明 每次下载证书都会产生新的密码,该密码仅匹配本次下载的证书。如果需要更新证书文件,同时也要更新匹配的密码。 - 在Tomcat安装目录下新建cert目录,将下载的证书和密码文件拷贝到cert目录下。
-
打开,在server.xml文件中添加以下属性(其中port属性请根据您的实际情况修改):
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="domain name.pfx" #此处keystoreFile代表证书文件的路径,请用您证书的文件名替换domain name。 keystoreType="PKCS12" keystorePass="证书密码" #请用您证书密码替换文件中的内容。 clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/> - 保存server.xml文件配置。
-
(可选步骤)配置web.xml文件开启HTTP强制跳转HTTPS。
#在</welcome-file-list>后添加以下内容: <login-config> <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name> </login-config> <security-constraint> <!-- Authorization setting for SSL --> <web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> - 重启Tomcat。
