Tomcat支持JKS格式證書,從Tomcat7開始也支持PFX格式證書,兩種證書格式任選其一。html
文件說明:java
1. 證書文件1539490276504.pem,包含兩段內容,請不要刪除任何一段內容。windows
2. 若是是證書系統建立的CSR,還包含:證書私鑰文件1539490276504.key、PFX格式證書文件1539490276504.pfx、PFX格式證書密碼文件pfx-password.txt。ide
一、證書格式轉換測試
在Tomcat的安裝目錄下建立cert目錄,而且將下載的所有文件拷貝到cert目錄中。若是申請證書時是本身建立的CSR文件,附件中只包含1539490276504.pem文件,還須要將私鑰文件拷貝到cert目錄,命名爲1539490276504.key;若是是系統建立的CSR,請直接到第2步。阿里雲
到cert目錄下執行以下命令完成PFX格式轉換命令,此處要設置PFX證書密碼,請牢記:spa
openssl pkcs12 -export -out 1539490276504.pfx -inkey 1539490276504.key -in 1539490276504.pem
二、PFX證書安裝視頻
找到安裝Tomcat目錄下該文件server.xml,通常默認路徑都是在 conf 文件夾中。找到 <Connection port="8443"標籤,增長以下屬性:server
keystoreFile="cert/1539490276504.pfx" keystoreType="PKCS12" #此處的證書密碼,請參考附件中的密碼文件或在第1步中設置的密碼 keystorePass="證書密碼"
完整的配置以下,其中port屬性根據實際狀況修改:xml
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="cert/1539490276504.pfx" keystoreType="PKCS12" keystorePass="證書密碼" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
三、JKS證書安裝(幫助)
( 1 ) 使用java jdk將PFX格式證書轉換爲JKS格式證書(windows環境注意在%JAVA_HOME%/jdk/bin目錄下執行)
keytool -importkeystore -srckeystore 1539490276504.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS
回車後輸入JKS證書密碼和PFX證書密碼,強烈推薦將JKS密碼與PFX證書密碼相同,不然可能會致使Tomcat啓動失敗。
( 2 ) 找到安裝 Tomcat 目錄下該文件Server.xml,通常默認路徑都是在 conf 文件夾中。找到 <Connection port="8443"標籤,增長以下屬性:
keystoreFile="cert/your-name.jks" keystorePass="證書密碼"
完整的配置以下,其中port屬性根據實際狀況修改:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="cert/your-name.jks" keystorePass="證書密碼" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
( 注意:不要直接拷貝全部配置,只需添加 keystoreFile,keystorePass等參數便可,其它參數請根據本身的實際狀況修改 )
四、 重啓 Tomcat。
五、 經過 https 方式訪問您的站點,測試站點證書的安裝配置,如遇到證書不信任問題,請查看幫助視頻。