Tomcat SSL 证书部署指南 WoSignCA Limited 1
目录 一 安装 SSL 服务器证书... 3 1.1 获取 SSl 证书... 3 1.2 2018 年之前签发获取 ssl 证书....3 1.3 安装 SSL 证书环境... 5 1.4 部署 SSL 证书... 6 1.4.1 Tomcat 8.5 之前版本... 6 1.4.2 Tomcat 8.5 及之后版本... 8 二 SSL 证书的备份... 9 三 SSL 证书的恢复... 9 技术支持联系方式 技术支持邮箱 :support@wosign.com 技术支持热线电话 :0755-26027828 / 0755-26027859 技术支持网页 :https://bbs.wosign.com 公司官网地址 :https://www.wosign.com 声明 此文档仅做参考使用, 相应的配置需根据当前的配置进行调整 2
一 安装 SSL 服务器证书 1.1 获取 SSl 证书 最终沃通数字证书系统将会给您颁发证书文件 (.zip) 压缩格式, 当中有包含四种证书格式如 :for Apache for IIS for Ngnix for Other Server;Tomcat 应用服务器上需要 for Nginx 里面的 crt 证书文件, 然后用工具合 成 jks 格式 : 打开 for Nginx 文件可以看到公钥, 如图 2 图 1 图 2 私钥 key 文件, 需要找到生成 CSR 一起生成出的两个文件, 如图 3, 其中一个是.key 文件, 若生成出 来的是.com 文件, 修改一下后缀即可 图 3 合成工具下载地址 :https://download.wosign.com/wosign/wosigncode.exe 合成方式 : 先把 key 文件放到 for nginx 里, 再双击下载的工具, 选择证书项, 操作选项, 选择证书格式转换, 源格式选择 PEM, 目标格式选择 JKS 证书文件 : 点击后面的选择按钮, 找到 for nginx 目录, 选择 yourdomain.com_bundle.crt, 点击确定 私钥文件 : 点击后面的选择按钮, 找到 for nginx 目录, 选择 yourdomain.com.key, 点击确定 3
私钥密码 : 为空, 不用填写 ( 因为生成私钥的时候没有填写, 如果之前有填写过私钥密码, 这里也填写相同的私钥密码 ) JKS 密码 : 任意填写一个密码 ( 合成 JKS 格式证书后的密码, 之后在 tomcat 上安装证书的时候需要使用到 ) 保存 填写完毕后, 点击转换, 选择保存证书文件的位置, 填写证书名称, 推荐使用 yourdomain.com.jks, 点击 最后, 得到 jks 格式证书 1.2 2018 年之前签发获取 SSl 证书 颁发证书文件 (.zip) 压缩格式, 当中有包含五种证书 4
格式如 :for Apache for IIS for Ngnix for Tomcat for Other Server;Tomcat 应用服务 器上只需要 for Tomcat 里面的 JKS 证书文件即可 1.3 安装 SSL 证书环境 首先访问 Tomcat 官网 (http://tomcat.apache.org/) 当前可根据您的系统下载不同的应用程序包, 我们以 Windows 系统为例 所以下载 Windows 版本的 apache-tomcat-7.0.29 版本 下载 Tomcat 解压到其中一个盘符下后, 进入 apache-tomcat-7.0.29 根目录下找到 bin 文件中此执行文件 windows: startup.bat (linux: startup.sh ), 运行期间将出现如图 1 所示的命令提示符窗口 ( 由于 jdk1.6 不支持新型的加密算法, 建议安装 Tomcat7.0+JDK1.7.0_45) 启动执行文件后, 我们将输入 Tomcat 应用服务默认的地址如 :http://127.0.0.1:8080 图 1 5
图 2 若有出现 Tomcat 默认此界面, 则表示您当前的应用服务是正常可运行 1.4 部署 SSL 证书 1.4.1 Tomcat 8.5 之前版本 找到 Tomcat 安装目录 conf 下的 Server.xml, 用文本编辑器打开, 找到如下图示位置如图 12: 图 12 默认情况下 <Connector port= 8443 > 是被注释的, 我们可以把 <!-- --> 去掉, 然后对其节点进行相应的修改, 比如 : 配置示例如下 : 6
<Connector port="443" protocol="org.apache.coyote.http11.http11protocol" maxthreads="150" SSLEnabled="true" scheme="https" secure="true" keystorefile="keystore/domain.jks" keystorepass=" 证书密码 " clientauth="false" sslprotocol="tls" ciphers="tls_rsa_with_aes_128_gcm_sha256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, SSL_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" /> 备注 :port: 端口号 ; keystorefile: 证书路径 ( 例如 :conf/name.jks);keystorepass: 证书密码 最后保存该配置文件, 然后重启 Tomcat 后再次访问 如图 13: 图 13 7
1.4.2 Tomcat 8.5 及之后版本 找到 Tomcat 安装目录 conf 下的 Server.xml, 用文本编辑器打开, 找到如下图示位置如图 14: 图 14 默认情况下 <Connector port= 8443 > 是被注释的, 我们可以把 <!-- --> 去掉, 并进行相应的修改, 比如 : 配置示例如下 : <Connector port="443" protocol="org.apache.coyote.http11.http11nioprotocol" maxthreads="150" SSLEnabled="true"> <SSLHostConfig> <Certificate certificatekeystorefile="f:\tomcat 9.0\conf\name.jks" certificatekeyalias="1" certificatekeystorepassword=" 证书密码 " type="rsa" /> </SSLHostConfig> </Connector> 备注 :port: 端口号 ; certificatekeystorefile: 证书路径 ( 例如 :conf/name.jks); certificatekeystorepassword: 证书密码 ; certificatekeyalias: 证书别名 8
最后保存该配置文件, 然后重启 Tomcat 后再次访问即可 如图 5 图 5 备注 : 安装完 ssl 证书后部分服务器可能会有以下错误, 请按照链接修复 a. 加密协议和安全套件 :https://bbs.wosign.com/thread-1284-1-1.html b. 部署 https 页面后出现排版错误, 或者提示网页有不安全的因素, 可参考以下链接 : https://bbs.wosign.com/thread-1667-1-1.html 二 SSL 证书的备份 请保存好收到的证书压缩包文件及密码, 以防丢失 三 SSL 证书的恢复 重复第 1.4 步操作即可 9