|
|
操作步骤
- b1 z/ Z9 b$ Y本文以将JKS格式证书安装在Linux操作系统中的Tomcat 7为例介绍安装证书的具体步骤。
( u' J; U. G8 g+ I% P/ d$ }2 M- V7 x5 ^) a+ R4 p4 W, g+ t
解压已保存到本地的JKS证书文件。
5 Z& A/ }$ D c" }- b* ^解压后您将看到文件夹中有以下文件:
$ t# e, Z( h2 C- z7 u证书文件(domain_name.jks)* ]- h: Z1 {; o9 t, _% E- k0 B
说明 本文中证书名称以domain_name为示例。
7 Z' q5 F6 D5 Y% r密码文件(jks-password.txt)( T4 e% M, k* B% E
说明4 V0 m/ J5 D6 M+ D
如果您在提交证书申请时,未将CSR生成方式设置为系统生成,则您下载的证书压缩包中不包含TXT密码文件。您在数字证书管理服务控制台下载证书时必须选择其他类型服务器,下载CRT格式的证书,并使用OpenSSL工具生成JKS格式的证书文件。
/ S9 D; _ ~0 G) G J每次下载证书都会产生新的密码文件。该密码文件仅匹配本次下载的证书。如果需要更新证书文件,同时也要更新匹配的密码文件。. z5 k5 ]% Y5 R7 a
在Tomcat安装目录下新建cert目录,将证书文件和密码文件拷贝到cert目录下 。
( H- y9 f& \" J: V参考以下步骤修改配置文件server.xml。
9 z. c2 k- t4 K1 ^4 P, a0 }访问Tomcat安装目录/conf/server.xml目录,打开server.xml文件。0 e7 |8 G2 B1 P' @2 m8 {
去掉server.xml中以下内容前的注释,即该内容前的井号(#)。
8 N7 `0 S# d: h$ g4 P; }<Connector port="8443"5 a2 b `" R% U' y2 ?4 z! e" n2 _
protocol="HTTP/1.1"
- t X9 @9 @2 V8 }7 i( T5 p port="8443" SSLEnabled="true"
3 H I7 c( j0 `0 x1 D maxThreads="150" scheme="https" secure="true"/ V. Z6 a# E r4 c1 o) e+ D v2 a
clientAuth="false" sslProtocol="TLS" />& ?9 @% B$ \& [( d6 m- P
参照以下内容修改server.xml文件。
: w% S! V# K; \# D/ U<Connector port="443" #port属性根据实际情况修改(HTTPS默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。
' r* @; ~: ?, g. R& U protocol="HTTP/1.1"
: z6 ]0 d0 G: ]4 w0 n8 X SSLEnabled="true"
B. A# l, j3 t% C7 K scheme="https"- O1 ^/ |# F8 R* C
secure="true"
; J/ z3 o- W$ U keystoreFile="Tomcat安装目录/cert/domain_name.jks" #证书名称前需加上证书的绝对路径,请使用您证书的文件名替换domain_name。
7 N/ g5 w) L0 Y1 C, ^) H- @ keystorePass="证书密码" #此处请替换为您证书密码文件jks-password.txt中的内容。& F; f h9 ~* y' q' g
clientAuth="false"
1 ]- e( f( R5 D" o! h6 ~ SSLProtocol="TLSv1.1+TLSv1.2+TLSv1.3"8 H: K3 M- G9 Z( _: f
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>$ I ~. ^& L1 `* x
保存server.xml文件。
; u4 \3 o6 B9 ^/ S可选:配置web.xml文件,开启HTTP强制跳转HTTPS。
! \4 K p1 f' n) c3 t在文件</welcome-file-list>后添加以下内容:
?% T; [- Z, n& s<login-config>
$ m; o: y, A! w* i# r7 J" G <!-- Authorization setting for SSL -->
4 K$ ^/ f. E1 p) C <auth-method>CLIENT-CERT</auth-method>
& W( y2 n3 I8 E! M& J! Z( k+ s8 C9 Z8 L <realm-name>Client Cert Users-only Area</realm-name>
7 Z5 t- K$ a$ A0 P) D* m q</login-config> 2 W4 i5 _$ l. X, {/ ~$ n6 r
<security-constraint>
0 y1 G" o' Q; Q7 c, l$ x; |. k0 N8 s <!-- Authorization setting for SSL -->
' N7 }% B- c1 Z1 Y8 f- t$ S <web-resource-collection > v4 L a, x m1 I6 C6 E/ j. A1 M6 o
<web-resource-name>Web项目名称</web-resource-name> #请将该参数替换为您的项目名称。 z* J* @7 K- |5 Y3 S
<url-pattern>/*</url-pattern>
_- a, }1 h& f </web-resource-collection> + S) d0 i+ F2 r" a4 |6 M: E$ q
<user-data-constraint>
) m% f# a8 ]3 P <transport-guarantee>CONFIDENTIAL</transport-guarantee> N% E8 a( T; g2 E/ Z0 t
</user-data-constraint> 0 c. [1 k- B- G
</security-constraint>7 z6 q: X7 c) Z- E
重启Tomcat服务。
/ m0 d1 ^/ ? K, I( J执行以下命令,关闭Tomcat服务:! v+ i) ?! G# @3 W: N3 F
./shutdown.sh5 P- m7 K6 s3 }, y1 A* w( K4 @; ^
执行以下命令,开启Tomcat服务:
^/ g/ `, H6 W; X; h/ T' h./startup.sh. ?7 I6 d+ t- O- c9 m
后续操作
: C0 b6 a9 `8 X- D: [证书安装完成后,您可以通过访问证书绑定域名的方式验证证书是否安装成功:
3 H& b1 o, H4 B' D# o4 x6 y8 ehttps://domain_name #请将domain_name替换成证书绑定的域名。! ^" A" W+ C; e1 Q
6 h& u+ A- o; K% M* e/ b
|
|
发表于 2023-2-17 17:00:01