安裝證書(shū)

Tomcat支持JKS格式證書(shū)，從Tomcat7開(kāi)始也支持PFX格式證書(shū)，兩種證書(shū)格式任選其一。

文件說(shuō)明：

1. 證書(shū)文件214043592950638.pem，包含兩段內(nèi)容，請(qǐng)不要?jiǎng)h除任何一段內(nèi)容。

2. 如果是證書(shū)系統(tǒng)創(chuàng)建的CSR，還包含：證書(shū)私鑰文件214043592950638.key、PFX格式證書(shū)文件214043592950638.pfx、PFX格式證書(shū)密碼文件pfx-password.txt。

1、證書(shū)格式轉(zhuǎn)換

在Tomcat的安裝目錄下創(chuàng)建cert目錄，并且將下載的全部文件拷貝到cert目錄中。如果申請(qǐng)證書(shū)時(shí)是自己創(chuàng)建的CSR文件，附件中只包含214043592950638.pem文件，還需要將私鑰文件拷貝到cert目錄，命名為214043592950638.key；如果是系統(tǒng)創(chuàng)建的CSR，請(qǐng)直接到第2步。

到cert目錄下執(zhí)行如下命令完成PFX格式轉(zhuǎn)換命令，此處要設(shè)置PFX證書(shū)密碼，請(qǐng)牢記：

openssl pkcs12 -export -out 214043592950638.pfx -inkey 
214043592950638.key -in 214043592950638.pem

2、PFX證書(shū)安裝

找到安裝Tomcat目錄下該文件server.xml,一般默認(rèn)路徑都是在 conf 文件夾中。找到 <Connection port="8443" 標(biāo)簽，增加如下屬性：

keystoreFile="cert/214043592950638.pfx"
keystoreType="PKCS12"
#此處的證書(shū)密碼，請(qǐng)參考附件中的密碼文件或在第1步中設(shè)置的密碼
keystorePass="證書(shū)密碼"

完整的配置如下，其中port屬性根據(jù)實(shí)際情況修改：

<Connector port="8443"
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="cert/214043592950638.pfx"
    keystoreType="PKCS12"
    keystorePass="證書(shū)密碼"
    clientAuth="false"
    ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4"/>

3、JKS證書(shū)安裝(幫助)

( 1 ) 使用java jdk將PFX格式證書(shū)轉(zhuǎn)換為JKS格式證書(shū)(windows環(huán)境注意在%JAVA_HOME%k/bin目錄下執(zhí)行)

keytool -importkeystore -srckeystore 214043592950638.pfx  
-destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS

回車(chē)后輸入JKS證書(shū)密碼和PFX證書(shū)密碼，強(qiáng)烈推薦將JKS密碼與PFX證書(shū)密碼相同，否則可能會(huì)導(dǎo)致Tomcat啟動(dòng)失敗。

( 2 ) 找到安裝 Tomcat 目錄下該文件Server.xml，一般默認(rèn)路徑都是在 conf 文件夾中。找到 <Connection port="8443" 標(biāo)簽，增加如下屬性：

keystoreFile="cert/your-name.jks"
keystorePass="證書(shū)密碼"

完整的配置如下，其中port屬性根據(jù)實(shí)際情況修改：

<Connector port="8443"
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="cert/your-name.jks"
    keystorePass="證書(shū)密碼"
    clientAuth="false"
    ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4"/>

( 注意:不要直接拷貝所有配置，只需添加keystoreFile,keystorePass等參數(shù)即可，其它參數(shù)請(qǐng)根據(jù)自己的實(shí)際情況修改 )

4、 重啟 Tomcat。

5、 通過(guò)https 方式訪問(wèn)您的站點(diǎn),測(cè)試站點(diǎn)證書(shū)的安裝配置，如遇到證書(shū)不信任問(wèn)題，請(qǐng)查看相關(guān)文檔。