--千金易得 知己难求

本文介绍如何在Tomcat服务器配置JKS格式的SSL证书，具体包括下载和上传证书文件，在Tomcat上配置证书文件和证书密码等参数，以及安装证书后结果的验证。成功配置SSL证书后，您将能够通过HTTPS加密通道安全访问Tomcat服务器，确保数据传输的安全性。

前提条件

• 已通过数字证书管理服务控制台签发证书。具体操作，请参见购买SSL证书和提交证书申请。

• SSL证书绑定的域名已完成DNS解析，即您的域名与主机IP地址相互映射。您可以通过DNS验证证书工具，检测域名DNS解析是否生效。具体操作，请参见DNS验证。

• 已在Web服务器开放443端口（HTTPS通信的标准端口）。

  如果您使用的是阿里云ECS服务器，请确保已经在安全组规则入方向添加TCP 443端口。具体操作，请参见添加安全组规则。

 步骤一：下载SSL证书

1. 登录数字证书管理服务控制台。

2. 在左侧导航栏，选择证书管理 > SSL证书管理。

3. 在SSL 证书页面，定位到目标证书，在操作列，单击下载。

4. 在服务器类型为JKS的操作列，单击下载。

 

解压缩已下载的SSL证书压缩包。

根据您在提交证书申请时选择的CSR生成方式，解压缩获得的文件不同，具体如下表所示。

步骤二：在Tomcat服务器安装证书

1. 将解压后的证书文件和私钥文件上传到Tomcat服务器的conf目录。

说明

Tomcat安装目录与您的服务器环境有关。您可以使用sudo find / -name tomcat命令，查询Tomcat的安装目录。

您可以使用远程登录工具附带的本地文件上传功能，上传文件。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里云云服务器 ECS，上传文件具体操作，请参见上传或下载文件（Windows）或上传文件到Linux云服务器。

       2.进入Tomcat安装根目录，执行以下命令，打开server.xml文件。

vim ./conf/server.xml 

     3. 按照以下示例以及注释说明配置server.xml。

重要：

为避免启动Tomcat时出现错误，请在复制代码时删除注释。

 

配置项：

 

配置示例：

 

<!-- #port属性根据实际情况修改（HTTPS默认端口为443）。如果使用其他端口号，则您需要使用https://domain_name:port的方式来访问您的网站。 
keystoreFile值需替换为证书的实际路径。
keystorePass值需替换为证书密码文件jks-password.txt中的内容。
如需了解其他配置项，请前往Tomcat官网查看。
-->
<Connector port="443"   protocol="HTTP/1.1"connectionTimeout="20000"redirectport="8443"maxParameterCount="1000"SSLEnabled="true"scheme="https"secure="true"keystoreFile="conf/domain_name.jks"keystoreType="JKS"keystorePass="证书密码"clientAuth="false"SSLProtocol="TLSv1.1+TLSv1.2+TLSv1.3"   ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>	

 

进入Tomcat的bin目录，执行以下命令，停止并重启Tomcat。

• 停止命令

 

./shutdown.sh

 重启命令

 

./startup.sh

 步骤三：验证SSL证书是否安装成功

证书安装完成后，您可通过访问证书的绑定域名验证该证书是否安装成功。

https://yourdomain   #需要将yourdomain替换成证书绑定的域名。

 

如果网页地址栏出现小锁标志，表示证书已经安装成功。