?

證書安裝場景介紹

?

安裝PFX格式證書

阿里云SSL證書服務支持下載證書安裝到Tomcat服務器上。Tomcat支持PFX格式和JKS兩種格式的證書，您可根據您Tomcat的版本擇其中一種格式的證書安裝到Tomcat上。本文介紹了PFX格式證書安裝的具體步驟。

前提條件

• 您的Tomcat服務器上已經開啟了443端口（HTTPS服務的默認端口）。
• 已安裝OpenSSL工具。
• 已下載Tomcat服務器所需要的證書文件。有關證書下載的具體操作，請參見下載證書。說明 申請證書時如果未選擇系統自動創建CSR，證書下載壓縮包中將不包含TXT文件。需要您選擇其他類型服務器下載CRT證書，并使用openssl命令生成PFX文件。 如果您自己擁有其他證書，可使用openssl命令將您自己的證書文件轉化為相應格式的文件，安裝到Tomcat服務器上。
• 已登錄您的Tomcat服務器。

背景信息

• 本文教程以Tomcat 7為例。
• Tomcat 9強制要求證書別名設置為tomcat。您需要使用以下keytool命令將protocol=”HTTP/1.1″轉換成protocol=”org.apache.coyote.http11.Http11NioProtocol”。 keytool -changealias -keystore domain name.pfx -alias alias -destalias tomcat
• 本文檔證書名稱以domain name為示例。例如，證書文件名稱為domain name.pfx，證書密碼文件名稱為pfx-password.txt。

操作步驟

1. 解壓已下載保存到本地的Tomcat證書文件。解壓后您將看到文件夾中有2個文件，您可為兩個證書文件重命名。 證書文件（domain name.pfx）：以PFX為文件類型。 密碼文件（pfx-password.txt）：以TXT為文件類型。 ? 說明 每次下載證書都會產生新的密碼，該密碼僅匹配本次下載的證書。如果需要更新證書文件，同時也要更新匹配的密碼。
2. 在Tomcat安裝目錄下新建cert目錄，將解壓的證書和密碼文件拷貝到cert目錄下。
3. 修改配置文件server.xml（路徑：Tomcat安裝目錄/conf/server.xml），并保存。
   1. 去掉以下內容的注釋： <Connector port=”8443″ protocol=”HTTP/1.1″ SSLEnabled=”true” maxThreads=”150″ scheme=”https” secure=”true” clientAuth=”false” sslProtocol=”TLS” />
   2. 參照以下內容修改<Connector port=”443″標簽內容。 <Connector port=”443″ #port屬性根據實際情況修改（https默認端口為443）。如果使用其他端口號，則您需要使用https://yourdomain:port的方式來訪問您的網站。 protocol=”HTTP/1.1″ SSLEnabled=”true” scheme=”https” secure=”true” keystoreFile=”Tomcat安裝目錄/cert/domain name.pfx” #證書名稱前需加上證書的絕對路徑，請使用您證書的文件名替換domain name。 keystoreType=”PKCS12″ keystorePass=”證書密碼” #請替換為密碼文件pfx-password.txt中的內容。 clientAuth=”false” SSLProtocol=”TLSv1+TLSv1.1+TLSv1.2″ ciphers=”TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256″/>
4. 可選：配置web.xml文件，開啟HTTP強制跳轉HTTPS。在文件</welcome-file-list>后添加以下內容： <login-config> <!– Authorization setting for SSL –> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name> </login-config> <security-constraint> <!– Authorization setting for SSL –> <web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
5. 重啟Tomcat。
   1. 執行以下命令關閉Tomcat服務器。 ./shutdown.sh
   2. 執行以下命令開啟Tomcat服務器。 ./startup.sh

后續操作

證書安裝完成后，可通過登錄證書綁定域名的方式驗證證書是否安裝成功。

https://domain name.com   #domain name替換成證書綁定的域名。

?

以上是tomcat端口配置域名證書ssl方式，在tomcat80端口強制訪問445https端口

?

此時服務器同時支持http端口80訪問，https端口 443訪問