Tomcat 8.5 配置 阿里云SSL 证书
1.安装证书
Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一。
文件说明:
- 证书文件215081885390003.pem,包含两段内容,请不要删除任何一段内容。
- 如果是证书系统创建的CSR,还包含:证书私钥文件215081885390003.key、PFX格式证书文件215081885390003.pfx、PFX格式证书密码文件pfx-password.txt。
1、证书格式转换
在Tomcat的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,附件中只包含215081885390003.pem文件,还需要将私钥文件拷贝到cert目录,命名为215081885390003.key;如果是系统创建的CSR,请直接到第2步。
到cert目录下执行如下命令完成PFX格式转换命令,此处要设置PFX证书密码,请牢记:
openssl pkcs12 -export -out 215081885390003.pfx -inkey 215081885390003.key -in 215081885390003.pem
3.tomcat/conf/server.xml配置
<Connector port="80"
executor="tomcatThreadPool"
protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443" />
<Connector port="443"
protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="cert/215081885390003.pfx"
keystoreType="PKCS12"
keystorePass="密码"
clientAuth="false"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
ciphers="隐藏了,一堆密钥">
</Connector>
4.tomcat/conf/web.xml ,这里作用是http强制转换https,当然之前的http是可以用的。上述步骤做完后验证https和http是否可以正常。注意一定要在‘’/welcome-file-list‘’屁股后加,否则是不生效的,网上有很多前面还有一小段,但是之前加后无法正常登陆就删除了,这是自己亲测有效的。
</welcome-file-list>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>