首先将你的证书文件也就是以jks结尾的文件拷贝到你的tomcat的conf目录中并复制它的绝对路径在tomcat安装位置进入conf目录编辑server.xml文件添加入以下内容
-
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
#证书保存的路径
keystoreFile="/usr/*/conf/www.domain.com.jks"
#密钥库密码
keystorePass="******"
clientAuth="false"/>
配置文件的主要参数说明如下:
- keystoreFile:密钥库文件的存放位置,可以指定绝对路径,也可以指定相对于 <CATALINA_HOME> (Tomcat安装目录)环境变量的相对路径。如果此项没有设定,默认情况下,Tomcat 将从当前操作系统用户的用户目录下读取名为 “.keystore” 的文件。
- keystorePass:密钥库密码,指定 keystore 的密码。申请证书时若设置了私钥密码,请填写私钥密码;若申请证书时未设置私钥密码,请填写 Tomcat 文件夹中 keystorePass.txt 文件的密码。
- clientAuth:如果设为 true,表示 Tomcat 要求所有的 SSL 客户出示安全证书,对 SSL 客户进行身份验证。
HTTP 自动跳转 HTTPS 的安全配置
- 编辑 /usr/*/conf 目录下的 web.xml 文件,找到 标签。
- 在welcome-file-list标签对中添加以下内容:
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection>
<web-resource-name>SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
- 编辑tomcat中conf下的server.xml文件,将 redirectPort 参数修改为 SSL 的 connector 的端口,即8443端口修改为443端口。如下所示:
<Connector port="80" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443" />
重启tomcat
说明:
此修改操作可将非 SSL 的 connector 可以跳转到 SSL 的 connector 中。