转换tomcat需要的jks证书
1.生成jks格式的证书,由于采购的证书为CFCA颁布的https证书,目前提供了一个在线转换的工具,非常便捷,可以通过此网站工具进行转换,https://ssl.cfca.com.cn/Web/tool
2.在证书格式转换页签中,选择源格式为PEM(KEY&CRT),目标格式为JKS,上传CER格式证书以及对应的key,输入key密码,JKS文件密码等信息(为了方便可以都设置为相同的密码),点击格式转换
3.此时会自动生成jks后缀的文件,下载到本地,后续需要配置到tomcat服务器上。
Tomcat 证书配置
1.将jks后缀的文件上传到tomcat安装目录的conf目录下,文件名为cert.jks
2.文本编辑器打开 Tomcat 安装目录下 conf 目录中的 server.xml 文件,更新以下内容。
Tomcat8.5 以下配置
其中:
SSL 访问端口:port=“443”
禁用 SSLv2、SSLv3 协议:sslProtocol=“TLS”
证书文件:keystoreFile=“jks 路径”
证书密码:keystorePass=“jks 密码”
信任证书链文件:truststoreFile=“jks 路径”
信任证书链密码:truststorePass=“jks 密码”
Tomcat8.5 及以上配置:
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" clientAuth="false">
<SSLHostConfig>
<Certificate
certificateKeystoreFile="conf/cert.jks"
certificateKeyAlias="jks别名"
certificateKeystorePassword="jks密码"
type="RSA" />
</SSLHostConfig>
//其他站点复制多个 SSLHostConfig
</Connector>
其中:
SSL 访问端口:port=“443”
证书文件:certificateKeystoreFile =“jks 路径”
证书别名:certificateKeyAlias=“jks 证书别名”
证书密码:certificateKeystorePassword =“jks 密码”
配置完成后,重新启动 Tomcat。
2.开启 HTTP 强制跳转 HTTPS,配置 web.xml 文件,在文件后添加以下内容:
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
相关问题:
1.安装完后依然显示无法访问页面
解决方案:检查服务器的防火墙以及网络的ACL相关配置