本文档介绍了CentOS系统下Tomcat 8.5或9部署SSL证书的操作说明。
环境准备
操作系统:CentOS 7.6 64位
Web服务器:Tomcat 8.5或9
操作步骤
登录沃通数字商城控制中心下载后解压,里面IIS文件夹和Tomcat两种,Tomcat支持两种格式的证书JKS和pfx。
certificateKeystoreType="PKCS12" /> #使用IIS文件夹的pfx证书
certificateKeystoreType="JKS" /> #使用Tomcat文件夹的jks证书
SSL证书安装密码位于:service.txt文件
将下载的证书和密码文件拷贝到Tomcat的conf目录下。
打开Tomcat/conf/server.xml,在server.xml文件中找到以下参数并进行修改。
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" /> #找到以上参数,去掉<!- - 和 - ->这对注释符并修改为如下参数,对HTTPS默认端口进行配置:
<Connector port="80" protocol="HTTP/1.1" #将Connector port修改为80。
connectionTimeout="20000"
redirectPort="443" /> #将redirectPort修改为SSL默认端口443,让HTTPS请求转发到443端口。
<Connector port="8443"
protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150"
SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="cert/keystore.pfx"
certificateKeystorePassword="XXXXXXX"
certificateKeystoreType="PKCS12" />
#找到以上参数,去掉<!- - 和 - ->这对注释符并修改为如下参数:
<Connector port="443" #将Tomcat中默认的HTTPS端口Connector port 8443修改为443。8443端口不可通过域名直接访问、需要在域名后加上端口号;443端口是HTTPS的默认端口,可通过域名直接访问,无需在域名后加端口号。 protocol="org.apache.coyote.http11.Http11NioProtocol" #server.xml文件中Connector port有两种运行模式(NIO和APR),请选择NIO模式(也就是protocol="org.apache.coyote.http11.Http11NioProtocol")这一段进行配置。 maxThreads="150"
SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="/usr/local/tomcat/cert/证书域名.pfx" #此处certificateKeystoreFile代表证书文件的路径,请用您证书的路径+文件名替换证书域名.pfx,例如:certificateKeystoreFile="/usr/local/tomcat/cert/abc.com.pfx"
certificateKeystorePassword="证书密码" #此处certificateKeystorePassword为SSL证书的密码,请用您证书密码文件pfx-password.txt中的密码替换,例如:certificateKeystorePassword="bMNML1Df"
certificateKeystoreType="PKCS12" /> #证书类型为PFX格式时,certificateKeystoreType修改为PKCS12。 </SSLHostConfig>
</Connector>
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />#找到以上参数,去掉<!- - 和 - ->这对注释符并修改为如下参数:
<Connector port="8009" protocol="AJP/1.3" redirectPort="443" /> #将redirectPort修改为443,让HTTPS请求转发到443端口。
保存server.xml文件配置。
(可选步骤)在web.xml文件最底部添加以下内容,实现HTTP自动跳转为HTTPS。
<security-constraint>
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
最后重启Tomcat服务。
在Tomcat下的bin目录中执行./shutdown.sh关闭Tomcat服务。关闭Tomcat服务
在Tomcat下的bin目录中执行./startup.sh开启Tomcat服务。