tomcat配置SSL加密网站

01安装openjdk

[root@client ~]# yum -y install java-1.8.0-openjdk

02查看版本

[root@client ~]# java -version
openjdk version "1.8.0_131"

03简约框线标题

[root@clientlnmp_soft]#tar-xf apache-tomcat-8.0.30.tar.gz

04移动工作目录

[root@clientlnmp_soft]#mv apache-tomcat-8.0.30 /usr/local/tomcat

05查看tomcat

[root@clientlnmp_soft]#ls /usr/local/tomcat/

• bin///主程序目录
• lib///库文件目录，存放各种类库的目录
• logs///日志目录
• temp///临时目录，在启服务的时候会有一些临时数据就在这个目录下边
• work///自动编译目录，这个目录是开发人员写配置的目录
• conf///配置文件目录，tomcat的主配置文件
• webapps///页面目录，存放网页的目录

06启动服务（主程序在bin/目录下）

[root@clienttomcat]# bin/startup.sh

07查看服务状态

[root@client tomcat]# ss -anptul | grep java

提示：tomcat的8005端口是用来关闭服务的，如果服务关闭不了那就执行下边操作，如果服务能正常访问，能正常关闭，那就不需要执行下边操作

[root@clienttomcat]#mv /dev/random /dev/random.bak
[root@clienttomcat]#ln-s /dev/urandom /dev/random

08使用浏览器访问测试tomcat页面

http://192.168.0.11:8080

09配置SSL加密，生成密钥对

[root@client~]#keytool-genkeypair -alias tomcat-keyalgRSA-keystore /usr/local/tomcat/keystore

输入密钥库口令: 123456//给密钥文件设置一个密码，密码最少6位数
再次输入新口令: 123456

您的名字与姓氏是什么?
[Unknown]: haha

您的组织单位名称是什么?
[Unknown]: haha

您的组织名称是什么?
[Unknown]: haha

您所在的城市或区域名称是什么?
[Unknown]: haha

您所在的省/市/自治区名称是什么?
[Unknown]: haha

该单位的双字母国家/地区代码是什么?
[Unknown]: cn

CN=haha, OU=haha, O=haha, L=haha, ST=haha, C=cn是否正确?
[否]: y//回答y就行，不要回答yes，如果回答yes它会重新在问你一遍

输入 <tomcat> 的密钥口令 123456//让你再次输入一下密码
(如果和密钥库口令相同, 按回车):
再次输入新口令: 123456//这个密要文件就生成了

10查看密钥文件

11修改配置文件

[root@clienttomcat]#vim conf/server.xml

指定密钥文件路径，指定密钥文件密码

12重启服务

[root@clienttomcat]# /usr/local/tomcat/bin/shutdown.sh
[root@clienttomcat]# /usr/local/tomcat/bin/startup.sh

13访问测试，指定加密端口

tomcat只需要做一次加密，那其他的网站全都被加密

扩展

Tomcat上安装SSL证书

本文介绍如何将下载的SSL证书安装到Tomcat服务器上。安装好证书后，您的Web服务器将能支持SSL通信，从而保证您Web服务器的通信安全。

1、申请证书时，“证书请求文件”选择“系统生成CSR”，可直接在已下载的证书文件中获取对应服务器的文件。
解压证书文件压缩吧，从文件夹内获得证书文件“server.jks”和密码文件“keystorePass.txt”。

2、解开注释tomcat下server.xml

   <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />

注释：8443端口可以另改

 <Connector port="8888" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"  keystoreType="PKCS12"  keystoreFile="/home/xxxuser/soft/cert/cretTomcat/4891476_www.domain.com.pfx" keystorePass="V46QVfF4" />

3、在“server.xml”文件中找到如下参数：

<Host name="localhost"  appBase="webapps"      unpackWARs="true" autoDeploy="true">

将“Host name”改为证书绑定的域名。

完整配置如下（以“www.domain.com”为例）：

<Host name="www.domain.com"  appBase="webapps"      unpackWARs="true" autoDeploy="true">

为tomcat配置免费ssl证书

最近公司要做微信小程序项目，而小程序的请求域名需要加密才可以通过，现记录下整个配置流程，以便日后复用或他人借鉴。

1.什么是ssl证书
简而言之，ssl证书就是一种数据加密的方式，多用于在线支付类网站。

2.如何申请免费ssl证书
腾讯云、阿里云都提供免费ssl证书的申请通道，一般有效期为1年，过期后可再次申请，传送门：https://cloud.tencent.com/product/ssl

点击立即购买选择免费的ssl证书，需要注意的是，无论是阿里还是腾讯，申请到的ssl证书都是单域名加密的证书，就算为顶级域名申请证书，也不会作用于二级域名。关于域名的问题请自行百度。

私钥密码如不设置，下载证书时会额外提供一个.txt文件，里面记录的就是与ssl证书对应的密钥。如设置密码，请务必确认后再提交表单，密码无法找回，请谨慎操作。

通过解析指定的 DNS 记录验证您的域名所有权，指定如主机记录 –> TXT记录类型 –> 记录值的解析格式。例如为申请证书的域名 www.domain.com 添加一条记录类型为TXT的DNS记录，www.domain.com –> TXT –> 201704262209564gw0hj37i4xai8m7uii2a23l

域名验证页面

等待工作人员验证我们申请的域名。

验证成功后即可下载证书，状态也变为已颁发的状态

3.为tomcat配置ssl证书
配置SSL连接器，将www.domain.com.jks文件存放到conf目录下，然后配置同目录下的server.xml文件：


到conf目录下的web.xml。在后面，也就是倒数第二段里，加上这样一段

这步目的是让非ssl的connector跳转到ssl的connector去。所以还需要前往server.xml进行配置：

redirectPort改成ssl的connector的端口443，重启后便会生效。

友情提示

服务器一定要把443端口打开！

Tomcat下的SSL证书安装方法

一、证书导入

导入中级证书： keytool -import -alias intermediate -keystore c:\server.jks -chinasslcrt –file c:\intermediate.crt 提示“认证已添加至keystore中”则导入成功。

导入交叉证书： keytool -import -alias cross -keystore c:\server.jks -chinasslcrt -file c:\chain.crt 提示“认证已添加至keystore中” 则导入成功。

导入服务器SSL证书： keytool -import -alias mykey -keystore c:\server.jks -chinasslcrt -file c:\server.crt 输入密码后 提示：“认证回复已安装在 keystore中”说明导入成功。

二、修改配置文件server.xml 将已正确导入认证回复的server.jks文件复制到tomcat安装目录下的conf目用文本编辑器打开Server.xml并更新以下内容

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" keystoreFile="D:/jcy/Tomcat7/conf/server.jks"?keystorePass="123456" />

下面为配置文件参数说明： port=”443″?SSL访问端口号为443 keystoreFile 私钥库文件 server.jks keystorePass私钥库密码 123456

对于Tomcat服务器，如果需要支持使用https访问，可以将服务器证书生成以后，配置server.xml文件，开放https访问方式。但有些时候，可能我们需要将整站或者一些特定的URL限制为只能使用https方式进行访问，那么需要在WEB应用的web.xml文件中进行进一步的配置。 在 tomcat /conf/web.xml 中的 后面加上下面代码：

需要重新启动tomcat，命令如下：

service tomcat stop

service tomcat start

备注：

一：Tomcat 默认http端口是8080，https一般默认443端口。修改默认网站端口方法，编辑server.xml修改下面代码：

connectionTimeout="20000"??URIEncoding="UTF-8"

redirectPort="443" />

二：“F5负载均衡产品设备的面板中健康检测还是应该是8080 而不是 443 否则认为不对，导致不能外网访问“，??.jks文件安装所以不需要加keystoreType=”PKCS12″这个代码。

server.xml配置文件参考模板：

type="org.apache.catalina.UserDatabase"

description="User database that can be updated and saved"

factory="org.apache.catalina.users.MemoryUserDatabaseFactory"

pathname="conf/tomcat-users.xml" />

connectionTimeout="20000"??URIEncoding="UTF-8"

redirectPort="443" />

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" keystoreFile="D:/jcy/Tomcat7/conf/server.jks" keystoreType="PKCS12" keystorePass="123456" />

resourceName="UserDatabase"/>

unpackWARs="true" >

prefix="localhost_access_log." suffix=".txt"

pattern="%h %l %u %t "%r" %s %b" />

以上由安信SSL证书整理发出，欢迎大家实践测试！

原文出处：zhihu -> https://zhuanlan.zhihu.com/p/54248987

参考链接 ：
tomcat配置SSL加密网站 ：https://mp.weixin.qq.com/s/NLDmMDgzyJ_ruT7d9vZdtA

Tomcat上安装SSL证书 : https://www.jianshu.com/p/f673f1c6a1b6

为tomcat配置免费ssl证书 ：https://www.jianshu.com/p/b2e78ce0d366

Tomcat下的SSL证书安装方法 ： https://www.centos.bz/2019/01/tomcat%e4%b8%8b%e7%9a%84ssl%e8%af%81%e4%b9%a6%e5%ae%89%e8%a3%85%e6%96%b9%e6%b3%95/