|
|
操作步骤; O+ [ Y( ~) K8 A% D
本文以将JKS格式证书安装在Linux操作系统中的Tomcat 7为例介绍安装证书的具体步骤。
8 c/ [) {# m P8 w
, F& p" K& [8 V$ Z$ n解压已保存到本地的JKS证书文件。* s5 _1 E) q9 i. [5 t) J, _
解压后您将看到文件夹中有以下文件:
$ C( O6 f; t1 l3 g! O7 @4 `证书文件(domain_name.jks)
+ s3 m$ S: z/ S* |) O说明 本文中证书名称以domain_name为示例。: I1 m, V& M. U) M% I
密码文件(jks-password.txt)5 W: ^# r! A6 ~, B$ O
说明
# ]8 X$ C0 [. b/ F* e9 k如果您在提交证书申请时,未将CSR生成方式设置为系统生成,则您下载的证书压缩包中不包含TXT密码文件。您在数字证书管理服务控制台下载证书时必须选择其他类型服务器,下载CRT格式的证书,并使用OpenSSL工具生成JKS格式的证书文件。
. d' k$ L$ k$ B2 l1 u每次下载证书都会产生新的密码文件。该密码文件仅匹配本次下载的证书。如果需要更新证书文件,同时也要更新匹配的密码文件。- F. H0 t8 W; {) v3 q9 n
在Tomcat安装目录下新建cert目录,将证书文件和密码文件拷贝到cert目录下 。
: k4 I: s. n# t# @+ O( Q$ Y参考以下步骤修改配置文件server.xml。
& h$ C( _- @6 m! R! N* a) u {访问Tomcat安装目录/conf/server.xml目录,打开server.xml文件。
' h9 I! Q! B% w/ x& g去掉server.xml中以下内容前的注释,即该内容前的井号(#)。
2 ^+ }0 c' S# ~/ ^<Connector port="8443"" J* N8 H; x# A: h2 d
protocol="HTTP/1.1", m8 C" e4 l$ }/ I5 r6 C
port="8443" SSLEnabled="true"
+ H. [/ B* g+ ]) ` maxThreads="150" scheme="https" secure="true"7 }. q: X* O: J7 ?8 g
clientAuth="false" sslProtocol="TLS" />8 q( Y1 k" Z" V( F& G9 @
参照以下内容修改server.xml文件。8 c& b: b- X4 X" K
<Connector port="443" #port属性根据实际情况修改(HTTPS默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。3 E% s3 j; Z; `# {# U8 s8 _
protocol="HTTP/1.1"
/ u; p: E7 @7 l1 `- A SSLEnabled="true"2 m! r( o% P3 s5 i
scheme="https"
# K/ v) b3 x7 ^! I secure="true"! }5 X' s0 @2 e: t
keystoreFile="Tomcat安装目录/cert/domain_name.jks" #证书名称前需加上证书的绝对路径,请使用您证书的文件名替换domain_name。6 _6 C/ E# p- c. v
keystorePass="证书密码" #此处请替换为您证书密码文件jks-password.txt中的内容。 Z+ F( C) t6 o- J
clientAuth="false"
; W. M' h7 @- q+ q! D SSLProtocol="TLSv1.1+TLSv1.2+TLSv1.3"
* R- C4 `. [0 [% c8 {2 i# h ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
' n3 _6 H9 B) u5 Y5 \% i保存server.xml文件。6 i) {% i3 d) o0 w, Z3 u/ d
可选:配置web.xml文件,开启HTTP强制跳转HTTPS。8 j# @! z' P& n
在文件</welcome-file-list>后添加以下内容:
/ d: Q& ?5 ]$ O7 i<login-config>
. \' N" b3 s+ ?/ ?- s& W <!-- Authorization setting for SSL --> & j( V$ _7 j! ~
<auth-method>CLIENT-CERT</auth-method> " y- T- ~% Z" l" R
<realm-name>Client Cert Users-only Area</realm-name> ! [8 ^9 f7 @. z: N# v8 W8 i$ K
</login-config>
0 W. v' m# L) G8 E) h' r, a3 P5 i<security-constraint>
2 F+ M. x# t: j$ k& e! R <!-- Authorization setting for SSL -->
) Y9 @# g& s- h6 w* P <web-resource-collection > ' P. J+ g* V3 i8 V) q9 y& O0 s
<web-resource-name>Web项目名称</web-resource-name> #请将该参数替换为您的项目名称。
' t. C. _9 t0 y6 S* c <url-pattern>/*</url-pattern>
; H$ C5 d4 ?: [0 A R3 X </web-resource-collection>
n$ n1 E7 B, z9 a& j+ J. q <user-data-constraint> # d7 o9 L9 T7 p% G4 k) l
<transport-guarantee>CONFIDENTIAL</transport-guarantee> 3 p& ^4 Z9 C* _3 L7 `
</user-data-constraint> 5 J+ o1 ]( \) P1 P% {! ~$ W, h
</security-constraint>
! @, G7 U( r& D1 P$ x重启Tomcat服务。% b' n9 M, u* g& X3 }. x' l
执行以下命令,关闭Tomcat服务:
$ X Z. Y& _+ z$ @# H! n./shutdown.sh. F: W3 C+ P! Y7 |& M
执行以下命令,开启Tomcat服务:
6 S6 }5 u4 O9 ]" ]3 t; V2 b' }1 Z./startup.sh5 ?: Q& ~. K0 K& L9 v1 o! F# C
后续操作
8 ~1 b1 }% Z8 Y+ M证书安装完成后,您可以通过访问证书绑定域名的方式验证证书是否安装成功:
7 ]6 K7 Z% `; W( Ghttps://domain_name #请将domain_name替换成证书绑定的域名。9 y- C6 e# c0 x1 u% L; g& M9 _
- L1 q, }& ^0 i0 F# V P |
|
发表于 2023-2-17 17:00:01