1. 打开终端
提前说明:本文配置的环境java是1.7以及以上,以下版本要升级,否则会遇到其他问题,centos7以上
先安装openssl和ssl输入命令:yum install mod_ssl openssl -y 让服务器自己安装就可以了,如果你不装,后面的命令无法执行
2. 修改证书
不管你在哪里下载的https的证书,你都需要做些事情,就是要把.key和.pem文件转换为.pfx文件,再把.pfx文件转为.jks文件
在你的压缩包里一定会存在key和pem文件,所以执行下面的命令:(在任意窗口下)
1、 Pem格式证书转换pfx证书命令,会让设置密码,请记住设置的密码,一定要记住
openssl pkcs12 -export -out 你设置的名字.pfx -inkey 证书的.key -in 证书的.pem
2、 pfx文件转换为jks文件命令
keytool -importkeystore -srckeystore 第一步生成的.pfx -destkeystore 你设置的.jks -srcstoretype PKCS12 -deststoretype JKS
注:中文请替换成相应证书、私钥文件名。
3. 放置证书
把你生成的证书,放在你的tomcat目录下,注意目录级别,和bin,conf文件在同级,如:/opt/whitproject/apache-tomcat-8.5.43/xxxx.jks
4. 修改server.xml
进入你的server.xml(这里不用我说怎么进了)
定位到下面的内容:
在下方加上这段
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="/opt/whitproject/apache-tomcat-8.5.43/xxx.jks"
keystorePass="你的key密码"
clientAuth="false"
sslProtocol="TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
SSL_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
/>
然后在定位在这:
说明: keystoreFile="/usr/local/apache-tomcat-7.0.94/keystore.jks" 是证书文件放置的具体位置
keystorePass="password" 是证书读取需要的密码
4. 记得打开443端口
firewall-cmd --zone=public --add-port=443/tcp --permanent
然后firewall-cmd --reload即可