|
|
操作步骤
) C1 k. W7 M" O2 U( b/ ]4 G本文以将JKS格式证书安装在Linux操作系统中的Tomcat 7为例介绍安装证书的具体步骤。4 C/ s5 S1 _* A+ s. W
( P- y5 P4 S/ W H8 o解压已保存到本地的JKS证书文件。
7 O8 V4 i1 V* i0 T解压后您将看到文件夹中有以下文件:. C$ B. _& z, ^, K; H! z% h
证书文件(domain_name.jks)& q: q' l* X \2 d: G# u% ]
说明 本文中证书名称以domain_name为示例。
4 L y" X8 f/ c; q$ s密码文件(jks-password.txt)
1 r [. b" G) ] X说明
- ?) h% Y) b; E9 }' C3 |* H如果您在提交证书申请时,未将CSR生成方式设置为系统生成,则您下载的证书压缩包中不包含TXT密码文件。您在数字证书管理服务控制台下载证书时必须选择其他类型服务器,下载CRT格式的证书,并使用OpenSSL工具生成JKS格式的证书文件。- }$ v5 F& h; Z% t# T7 g
每次下载证书都会产生新的密码文件。该密码文件仅匹配本次下载的证书。如果需要更新证书文件,同时也要更新匹配的密码文件。7 H* y" r. K! k* Z( Z
在Tomcat安装目录下新建cert目录,将证书文件和密码文件拷贝到cert目录下 。! g% R5 n. I" \5 E7 [- _
参考以下步骤修改配置文件server.xml。
) d* c( T0 ] h' ^访问Tomcat安装目录/conf/server.xml目录,打开server.xml文件。, _& s( W# \( V. C2 g3 R
去掉server.xml中以下内容前的注释,即该内容前的井号(#)。' p3 [& @8 ?+ ?, @" S, O: \& B
<Connector port="8443"
5 \% V; {, i7 [" V) Tprotocol="HTTP/1.1"( [' F! N+ J; ]1 W' i
port="8443" SSLEnabled="true"
# u; R. u- d8 ~" c1 ]; V maxThreads="150" scheme="https" secure="true"
7 }) E7 o2 d0 M8 {: M5 ~ clientAuth="false" sslProtocol="TLS" />
$ L7 y5 K( v1 U& { y8 y5 B9 T参照以下内容修改server.xml文件。; ^9 P6 ?# r* i) ^; m; ^$ x
<Connector port="443" #port属性根据实际情况修改(HTTPS默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。; b/ I* s8 u- K5 z( V, q; n; z
protocol="HTTP/1.1"
5 q) k' W/ P) w0 Y3 P SSLEnabled="true"
+ U/ k& j7 b6 N) X; ?" q/ T6 n scheme="https"
5 k8 x2 n s2 e! z: v2 p secure="true"3 [' C6 M% r7 O- e& o# d, h: V, l
keystoreFile="Tomcat安装目录/cert/domain_name.jks" #证书名称前需加上证书的绝对路径,请使用您证书的文件名替换domain_name。
e# y- t% r9 q6 A keystorePass="证书密码" #此处请替换为您证书密码文件jks-password.txt中的内容。
$ K% w# k* w4 B/ S- v+ Q- k9 p clientAuth="false" X* I) D! O. @- X. i
SSLProtocol="TLSv1.1+TLSv1.2+TLSv1.3"5 ]6 x5 A# b! n: W( D5 d8 u
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/># Z( W, i k0 d5 h9 t
保存server.xml文件。8 X* R* o7 Z3 Q/ ` i% W1 }* r
可选:配置web.xml文件,开启HTTP强制跳转HTTPS。
+ ?9 N. M+ f/ K; I在文件</welcome-file-list>后添加以下内容:
$ G) e# g2 f7 ^& w' d) G<login-config>
2 c; F) @; \3 H M <!-- Authorization setting for SSL --> : p/ R$ z% y3 h" i* m3 [+ t
<auth-method>CLIENT-CERT</auth-method>
- M3 \( ~( ?" \8 V) d0 G <realm-name>Client Cert Users-only Area</realm-name> ( H" c8 x W/ w; @8 }
</login-config> 4 J2 ~, r+ l& [% k7 K) |, S$ V
<security-constraint>
( e9 z U# p2 {- l9 }7 K <!-- Authorization setting for SSL --> / r, k) g* D1 _2 r( S2 W+ t* }
<web-resource-collection > , Y% R/ z2 M- a$ |9 H5 D$ W3 D
<web-resource-name>Web项目名称</web-resource-name> #请将该参数替换为您的项目名称。. _( U3 y& z2 y
<url-pattern>/*</url-pattern> ) \' w) r7 n& H9 _7 a
</web-resource-collection>
9 n |, _+ ~* W8 f. o <user-data-constraint> % w- Z- @/ B. R) p6 q
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
7 a5 T3 }! l% ]( f: ? </user-data-constraint> # A# W, G* ~7 {1 D: \
</security-constraint>( w& @( A& k- N5 D6 `
重启Tomcat服务。
9 b& N$ v- X* T' ]+ m执行以下命令,关闭Tomcat服务:
$ W0 [' n* ?2 \- ~) a7 x$ z% y" \./shutdown.sh
9 C; u2 ~, e6 z: b$ z8 |7 w1 Z执行以下命令,开启Tomcat服务:; S& U. |7 `2 p" T0 b% r* y6 U
./startup.sh
( F# D7 r- k% C( ~5 f) `后续操作% W) [7 Q. r" N+ t) S
证书安装完成后,您可以通过访问证书绑定域名的方式验证证书是否安装成功:, e, A9 O$ U" `+ x) s$ ]3 l
https://domain_name #请将domain_name替换成证书绑定的域名。* p Q$ D* ?7 o m
' W3 `$ ]: k: ]+ R- y
|
|
发表于 2023-2-17 17:00:01