本文转自https://hacpai.com/article/1497605239743?p=1&m=0
一、配置 Let's Encrypt 免费证书的准备
1、 首先把你的域名解析到这台服务器,这里是多域名配置,那至少解析两个子域名过来啦,我这里解析的是 ssl.huiyanxian.cn , tssl.huiyanxian.cn 切记是A解析啊
2、 首先你要配置好你的java环境,包括jdk,tomcat的安装。我的端口改为了80,具体配置如下(可以不按照我的来配置) <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" /> <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" keystoreFile="生成证书的路径" keystorePass="证书的密码" clientAuth="false" sslProtocol="TLS" />
3、 因为在安装过程中需要安装不少依赖,因为默认源在国外,导致依赖失败,所以需要先把源改为国内源,大家可以用网易163的源, 或者阿里的,我这里用的是阿里的源,具体更换方法参考我前面的另一片文章 https://blog.huiyanxian.cn/articles/2017/06/15/1497490831833.html
4、 这里是使用的是certbot-auto 来申请证书,python要升级到2.7,centos 6.5 默认的python版本是 2.6.6,升级python参考文章 (https://blog.fazero.me/2016/10/13/centos-update-python/),这里提供了一键脚本,以及把pip升级到了最新。
二、 安装
1、 安装 certbot
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto
2、 申请ssl ,因为要验证你的域名是否解析到了你的服务器,会借用你的80/443端口。所以在执行下面语句之前保证80/443
是没有被占用的。我这里只需要关闭tomcat就行。
./certbot-auto certonly --standalone --email [email protected] -d ssl.huiyanxian.cn -d tssl.huiyanxian.cn
这里是多域名的,想要在添加域名的话继续在后面添加 -d 域名 email后面填写的是你的邮箱
弹出的 两个选项 一个选择同意 A 另外一个选择 Y 就行。
等待到最后出现以下内容说明申请成功
IMPORTANT NOTES:
- Congratulations! Your certificate and chain have been saved at
/etc/letsencrypt/live/ssl.huiyanxian.cn/fullchain.pem. Your cert
will expire on 2017-09-14. To obtain a new or tweaked version of
this certificate in the future, simply run certbot-auto again. To
non-interactively renew *all* of your certificates, run
"certbot-auto renew"
- Your account credentials have been saved in your Certbot
configuration directory at /etc/letsencrypt. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and private keys obtained by Certbot so
making regular backups of this folder is ideal.
- If you like Certbot, please consider supporting our work by:
Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate
Donating to EFF: https://eff.org/donate-le
说明申请成功,并且存放在了 这个文件下 /etc/letsencrypt/live/ssl.huiyanxian.cn/fullchain.pem
3、 合成tomcat的证书,在 tomcat 底下创建一个文件夹用来存放准备生产的证书(当然也可以自己选择一个目录存放)
我的目录是:/usr/local/tomcat/conf/LetsEncrypt ,
#进入申请证书的目录,这个目录会以第一个域名明明,不影响多域名使用。
cd /etc/letsencrypt/live/ssl.huiyanxian.cn/
#复制到tomcat刚创建的证书目录下
cp fullchain.pem /usr/local/tomcat/conf/LetsEncrypt
cp privkey.pem /usr/local/tomcat/conf/LetsEncrypt
#进入到这个目录
cd /usr/local/tomcat/conf/LetsEncrypt/
#生成.p12文件
openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out fullchain_and_key.p12 -name tomcat
这里会被要求设置密码,输入就行(下面用到的:yourPKCS12pass)
#生成.jks证书
keytool -importkeystore -deststorepass 'yourJKSpass' -destkeypass 'yourKeyPass' -destkeystore MyDSKeyStore.jks -srckeystore fullchain_and_key.p12
srcstoretype PKCS12 -srcstorepass 'yourPKCS12pass' -alias tomcat
其中 yourPKCS12pass 是上一步中设置的ssl证书密码,这里的yourKeyPass是要设置的keystore密码,可以与yourPKCS12pass一致,下面配置tomcat会用到
4、 配置tomcat
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" ></Connector>
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"
keystoreFile="/usr/local/tomcat/conf/LetsEncrypt/MyDSKeyStore.jks" keystorePass="证书的密码"
clientAuth="false" sslProtocol="TLS" ></Connector>
5、 完成,在tomcat创建两个站点,放入一个简单的.jsp文件,可以通过https://ssl.huiyanxian.cn https://tssl.huiyanxian.cn 即可访问。
免费证书只能用三个月,但是可以通过脚本自动更新,后续我会补充相关的自动更新的方法。
参考文献
3、配置生成证书