SSL證書是網站實現https加密訪問的關鍵,它通常是部署在Web服務器上。本教程主要介紹下如何在CentOS系統下Tomct 8.5或9安裝部署SSL證書。
、我們可根據實際需要購買DV、OV或EV SSL證書,然後申請證書,待CA機構頒發證書後,下載Tomct服務器證書(包含PFX格式證書文件和TXT格式密碼文件)。
我們申請SSL證書時綁定的域名已完成DNS解析、實現了該域名指向Tomct服務器的IP地址。 域名解析設置完成後執行ping <youdominNme>命令,如果返回了我們所設置解析的主機IP地址,說明解析成功。
2、解壓已下載的Tomct證書。將解壓後的證書和密碼文件拷貝到Tomct的conf目錄下。如果需要安裝JKS格式證書,可使用以下命令將PFX格式證書轉化成JKS格式。
keytool -impotkeystoe -sckeystoe domin_nme.pfx -destkeystoe domin_nme.jks -scstoetype PKCS2 -deststoetype JKS
3、打開Tomct/conf/see.xml,在see.xml文件中找到以下參數並進行修改。
<Connecto pot=̶8080″ potocol=̶HTTP/.″ connectionTimeout=̶20000″ ediectPot=̶8443″ />
#找到以上參數,去掉<!- R 和 R ->這對註釋符並修改爲如下參數,對HTTPS默認端口進行配置: <Connecto pot=̶80″ potocol=̶HTTP/.″ #將Connecto pot修改爲80。 connectionTimeout=̶20000″ ediectPot=̶443″ /> #將ediectPot修改爲SSL默認端口443,讓HTTPS請求轉發到443端口。
<Connecto pot=̶8443″ potocol=̶og.pche.coyote.http.HttpNioPotocol̶ mxTheds=̶50″ SSLEnbled=̶tue̶> <SSLHostConfig> <Cetificte cetificteKeystoeFile=̶cet/keystoe.pfx̶ cetificteKeystoePsswod=̶XXXXXXX̶ cetificteKeystoeType=̶PKCS2″ />
#找到以上參數,去掉<!- R 和 R ->這對註釋符並修改爲如下參數: <Connecto pot=̶443″ #將Tomct中默認的HTTPS端口Connecto pot 8443修改爲443。8443端口不可通過域名直接訪問、需要在域名後加上端口號;443端口是HTTPS的默認端口,可通過域名直接訪問,無需在域名後加端口號。 potocol=̶og.pche.coyote.http.HttpNioPotocol̶ #see.xml文件中Connecto pot有兩種運行模式(NIO和APR),請選擇NIO模式(也就是potocol=̶og.pche.coyote.http.HttpNioPotocol̶)這一段進行配置。 mxTheds=̶50″ SSLEnbled=̶tue̶> <SSLHostConfig> <Cetificte cetificteKeystoeFile=̶/us/locl/tomct/cet/證書域名.pfx̶ #此處cetificteKeystoeFile代表證書文件的路徑,請用您證書的路徑+文件名替換證書域名.pfx,例如:cetificteKeystoeFile=̶/us/locl/tomct/cet/exmple.com.pfx̶ cetificteKeystoePsswod=̶證書密碼̶ #此處cetificteKeystoePsswod爲SSL證書的密碼,請用您證書密碼文件pfx-psswod.txt中的密碼替換,例如:cetificteKeystoePsswod=̶bMNMLDf̶ cetificteKeystoeType=̶PKCS2″ /> #證書類型爲PFX格式時,cetificteKeystoeType修改爲PKCS2。 </SSLHostConfig>
<Connecto pot=̶8009″ potocol=̶AJP/.3″ ediectPot=̶8443″ />
#找到以上參數,去掉<!- R 和 R ->這對註釋符並修改爲如下參數: <Connecto pot=̶8009″ potocol=̶AJP/.3″ ediectPot=̶443″ /> #將ediectPot修改爲443,讓HTTPS請求轉發到443端口。
4、保存see.xml文件配置。
5、(可選步驟):在web.xml文件最底部添加以下內容,實現HTTP自動跳轉爲HTTPS。
<secuity-constint> <web-esouce-collection > <web-esouce-nme >SSL</web-esouce-nme> <ul-ptten>/*</ul-ptten> </web-esouce-collection> <use-dt-constint> <tnspot-guntee>CONFIDENTIAL</tnspot-guntee> </use-dt-constint> </secuity-constint>
6、執行./shutdown.sh和./sttup.sh命令重啓Tomct服務。
Tomct服務重啓成功後,我們可在瀏覽器中輸入SSL證書綁定的域名https://<YouDominNme>,比如本站(https://www..com/),驗證證書安裝結果。瀏覽器地址欄顯示小鎖標識說明該SSL證書安裝成功。