證書安裝指引之Tomcat 證書部署

Tomcat 證書部署

0 申請證書

1 獲取證書

若是申請證書時有填寫私鑰密碼，下載可得到Tomcat文件夾，其中有密鑰庫 www.domain.com.jks；
若是沒有填寫私鑰密碼，證書下載包的Tomcat文件夾中包括密鑰庫文件www.domain.com.jks 與密鑰庫密碼文件keystorePass.txt
當用戶選擇粘貼CSR時，不提供Tomcat證書文件的下載，須要用戶手動轉換格式生成,操做方法以下：

能夠經過 Nginx 文件夾內證書文件和私鑰文件生成jks格式證書
轉換工具：https://www.trustasia.com/tools/cert-converter.htm
使用工具時注意填寫 密鑰庫密碼 ，安裝證書時配置文件中須要填寫。

2 證書安裝

配置SSL鏈接器，將www.domain.com.jks文件存放到conf目錄下，而後配置同目錄下的server.xml文件：

•  

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    keystoreFile="conf/www.domain.com.jks"
    keystorePass="changeit"
    clientAuth="false" sslProtocol="TLS" />

注：

配置文件參數	說明
clientAuth	若是設爲true，表示Tomcat要求全部的SSL客戶出示安全證書，對SSL客戶進行身份驗證
keystoreFile	指定keystore文件的存放位置，能夠指定絕對路徑，也能夠指定相對於 （Tomcat安裝目錄）環境變量的相對路徑。若是此項沒有設定，默認狀況下，Tomcat將從當前操做系統用戶的用戶目錄下讀取名爲 「.keystore」的文件。
keystorePass	密鑰庫密碼，指定keystore的密碼。（若是申請證書時有填寫私鑰密碼，密鑰庫密碼即私鑰密碼，不然填寫密鑰庫密碼文件中的密碼）
sslProtocol	指定套接字（Socket）使用的加密/解密協議，默認值爲TLS

3 http自動跳轉https的安全配置

到conf目錄下的web.xml。在</welcome-file-list>後面，</web-app>，也就是倒數第二段裏，加上這樣一段

•  

<login-config>
    <!-- Authorization setting for SSL -->
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>Client Cert Users-only Area</realm-name>
    </login-config>
    <security-constraint>
    <!-- Authorization setting for SSL -->
    <web-resource-collection>
    <web-resource-name>SSL</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>

這步目的是讓非ssl的connector跳轉到ssl的connector去。因此還須要前往server.xml進行配置：

•  

<Connector port="8080" protocol="HTTP/1.1"
    connectionTimeout="20000"
    redirectPort="443" />

redirectPort改爲ssl的connector的端口443，重啓後便會生效。