|
|
操作步骤; |* h: k4 p. n6 a9 V. r7 F2 o# |
本文以将JKS格式证书安装在Linux操作系统中的Tomcat 7为例介绍安装证书的具体步骤。
+ W" z# ]7 p( R+ i
, s) ~1 D/ `+ ?8 O0 C4 K7 ]. a解压已保存到本地的JKS证书文件。, Z3 z( T. @9 |6 W: g
解压后您将看到文件夹中有以下文件:$ I7 u4 R1 W# K9 K
证书文件(domain_name.jks)
# U2 o: f e! l( W说明 本文中证书名称以domain_name为示例。
) d3 v! H1 T- A$ G密码文件(jks-password.txt)2 }7 t; F7 e$ m* ]' Z
说明3 z. \, r: P; u3 p6 B/ ?0 _
如果您在提交证书申请时,未将CSR生成方式设置为系统生成,则您下载的证书压缩包中不包含TXT密码文件。您在数字证书管理服务控制台下载证书时必须选择其他类型服务器,下载CRT格式的证书,并使用OpenSSL工具生成JKS格式的证书文件。" Y1 \3 A; T$ `. L# A6 P) h* C* H
每次下载证书都会产生新的密码文件。该密码文件仅匹配本次下载的证书。如果需要更新证书文件,同时也要更新匹配的密码文件。
( [6 E/ Y3 e6 m在Tomcat安装目录下新建cert目录,将证书文件和密码文件拷贝到cert目录下 。7 R. [: c. O O
参考以下步骤修改配置文件server.xml。
5 x! r$ w& ^( F* Z8 i访问Tomcat安装目录/conf/server.xml目录,打开server.xml文件。4 A _/ b$ |, H, O* e/ B" c$ L
去掉server.xml中以下内容前的注释,即该内容前的井号(#)。$ l. k- l& r9 k& h
<Connector port="8443"
" p$ { {5 M4 Yprotocol="HTTP/1.1"9 i' V9 ~' D- F4 e
port="8443" SSLEnabled="true"3 [; l' g1 [8 o: N5 j5 I
maxThreads="150" scheme="https" secure="true"
! I8 I) x* ^& r, V clientAuth="false" sslProtocol="TLS" />
3 X6 x* s y; e' w7 ?参照以下内容修改server.xml文件。
0 d8 ~ X) G: T7 k' p1 t% V+ t+ f<Connector port="443" #port属性根据实际情况修改(HTTPS默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。& @) r. l1 [& x, q! k. B6 E
protocol="HTTP/1.1"
, N% g% S/ I7 \ SSLEnabled="true"
6 [4 m# B, _5 r0 s scheme="https"5 w% @# @6 {! I5 Y
secure="true"
1 Z, n3 G0 V1 o8 f9 z) K, B keystoreFile="Tomcat安装目录/cert/domain_name.jks" #证书名称前需加上证书的绝对路径,请使用您证书的文件名替换domain_name。
2 j* J' G$ S$ T6 [5 \ keystorePass="证书密码" #此处请替换为您证书密码文件jks-password.txt中的内容。) e8 i' b* \% w d$ q7 e3 r+ d
clientAuth="false"
6 v0 c; H! j/ a5 `- D( c2 @* E SSLProtocol="TLSv1.1+TLSv1.2+TLSv1.3". [% |) V6 c1 F5 d2 A& e
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>/ p4 ^5 o% B4 \* h
保存server.xml文件。
% }6 W5 ^( {' k$ G: S( Y" D& w* |可选:配置web.xml文件,开启HTTP强制跳转HTTPS。
( o* D5 s2 r z# v. l9 \- E- `在文件</welcome-file-list>后添加以下内容:
' Y3 y$ d) f0 d<login-config> ! \- b+ u2 ^6 ~
<!-- Authorization setting for SSL -->
% D8 @2 k" r6 |, O2 O. N2 D <auth-method>CLIENT-CERT</auth-method> * r2 v- X" o8 r" X
<realm-name>Client Cert Users-only Area</realm-name> ' A0 ]% V6 ~4 h2 [1 q6 T
</login-config>
' c' p( `0 ]- y x1 x$ W3 N# D<security-constraint> 7 R. n) T' Q% H3 Q( l+ z
<!-- Authorization setting for SSL --> # m F9 A ^( x3 h+ `6 I9 v
<web-resource-collection > # R. x! C3 a7 z2 @
<web-resource-name>Web项目名称</web-resource-name> #请将该参数替换为您的项目名称。1 `/ w( q) A8 Q& U0 m1 G5 B
<url-pattern>/*</url-pattern> / m2 i* L/ U* y3 D( ]. R
</web-resource-collection> ; u% T6 e' }; m% D- m
<user-data-constraint> $ g% L% I; n2 u! J1 g
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
3 ^3 u7 s' D3 _. Y </user-data-constraint>
2 G4 [, g% C+ K( q</security-constraint>
9 B" _9 F2 i8 f) ~1 [重启Tomcat服务。" G- q5 K+ M1 e8 I9 B; q6 m
执行以下命令,关闭Tomcat服务:
. C" J7 X& q" d$ G( i./shutdown.sh
! m+ L$ `7 x( ?+ t- }执行以下命令,开启Tomcat服务:
) e3 A: x2 J+ Z( j./startup.sh
( V7 E5 G% T& X8 I后续操作0 D+ L9 _0 I3 `) y% J5 o$ Q
证书安装完成后,您可以通过访问证书绑定域名的方式验证证书是否安装成功:) l2 ~8 @* x2 p/ Q$ X
https://domain_name #请将domain_name替换成证书绑定的域名。 w$ a9 X! l! E" ~+ ~( C
! ?0 c7 }4 A. m/ {: s2 h |
|
发表于 2023-2-17 17:00:01