Tomcat的SSL证书配置

Published by davidliu on

一、PFX格式

从Tomcat7开始支持PFX格式证书,PFX格式只适用tomcat7 及其以上的版本

a.找到安装Tomcat目录下文件server.xml,一般默认路径都是在 conf 文件夹中。找到<Connection port=”8443″ 标签,增加如下属性:

keystoreFile=”cert/ 214002146520484.pfx”

keystoreType=”PKCS12″

keystorePass=”证书密码”

注:214002146520484.pfx 为证书文件名

完整的配置如下,其中port属性根据实际情况修改:

<Connector port=”443″

protocol=”org.apache.coyote.http11.Http11NioProtocol”

SSLEnabled=”true”

scheme=”https”

secure=”true”

keystoreFile=”ssl/214002146520484.pfx” //证书路径地址

keystoreType=”PKCS12″

keystorePass=”证书密码” //证书密码

clientAuth=”false”

SSLProtocol=”TLSv1+TLSv1.1+TLSv1.2″

ciphers=”TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256″/>

二、JKS格式

a. 使用java jdk将PFX格式证书转换为JKS格式证书

keytool -importkeystore -srckeystore domains_ssl.pfx -destkeystore domains.jks -srcstoretype PKCS12 -deststoretype JKS

回车后输入JKS证书密码和PFX证书密码,强烈推荐将JKS密码与PFX证书密码相同,否则可能会导致Tomcat启动失败。如下

Enter destination keystore password:

Re-enter new password:

Enter source keystore password:

Entry for alias alias successfully imported.

Import command completed: 1 entries successfully imported, 0 entries failed or cancelled

当然网上也有很多的证书格式转换工具,方便我们进行证书格式的转换。

b.找到安装 Tomcat 目录下文件server.xml,一般默认路径都是在 conf 文件夹中。找到<Connection port=”8443″ 标签,完整的配置如下,其中port属性根据实际情况修改:

<Connector port=”443″ protocol=”HTTP/1.1″ SSLEnabled=”true”

maxThreads=”150″ scheme=”https” secure=”true”

keystoreFile=”conf/www.domain.com.jks” //证书路径地址

keystorePass=”密码” //证书密码

clientAuth=”false” sslProtocol=”TLS” />

或者:

重启 Tomcat,通过 https 方式访问站点,测试站点证书是否正确安装配置。

Categories: Uncategorized

0 Comments

Leave a Reply

Your email address will not be published. Required fields are marked *