Instalación del certificado SSL de Alibaba Cloud-tomcat

Others 2020-04-15 23:58:33 views: null

El servicio de certificados SSL de Alibaba Cloud admite la descarga del certificado y su instalación en el servidor Tomcat. Tomcat admite certificados en formatos PFX y JKS. Puede elegir uno de estos formatos para instalar en Tomcat de acuerdo con su versión de Tomcat. Este documento describe los pasos específicos para instalar el certificado de formato PFX.

Prerrequisitos

  • El puerto 443 (el puerto predeterminado del servicio HTTPS) se ha abierto en su servidor Tomcat.
  • La herramienta OpenSSL ha sido instalada.
  • Se ha descargado el archivo de certificado requerido por el servidor Tomcat. Para la operación específica de la descarga del certificado, vea Descargar certificado . Explicación
    • Si no seleccionó el sistema para crear automáticamente una CSR al solicitar un certificado, el archivo .txt no se incluirá en el paquete de descarga del certificado. Debe seleccionar otro tipo de servidor para descargar el certificado .crt y usar el comando openssl para generar el archivo pfx.
    • Si tiene otros certificados, puede usar el comando openssl para convertir su propio archivo de certificado a un archivo de formato correspondiente e instalarlo en el servidor Tomcat.
  • Has iniciado sesión en tu servidor Tomcat.

Información de fondo

  • Este tutorial utiliza Tomcat 7 como ejemplo.
  • Tomcat 9 exige que el alias del certificado esté establecido en tomcat. Debe usar el siguiente comando keytool para protocol="HTTP/1.1"convertir protocol="org.apache.coyote.http11.Http11NioProtocol".

     Acercar

    keytool -changealias -keystore domain name.pfx -alias alias -destalias tomcat
  • El nombre del certificado en este documento utiliza el nombre de dominio como ejemplo, por ejemplo, el nombre del archivo de certificado es nombre de dominio.pfx y el nombre del archivo de contraseña del certificado es pfx-password.txt.

Pasos de la operación

  1. Descomprima el archivo de certificado Tomcat descargado y guardado. Después de descomprimir, verá 2 archivos en la carpeta, puede cambiar el nombre de los dos archivos de certificado.
    • Archivo de certificado (nombre de dominio.pfx): .pfx como sufijo o tipo de archivo.
    • Archivo de contraseña (pfx-password.txt): .txt como sufijo o tipo de archivo.
    Archivo de certificado

    Nota  Cada vez que descargue un certificado, se generará una nueva contraseña. Esta contraseña solo coincide con el certificado que descargó esta vez. Si necesita actualizar el archivo del certificado, también actualice la contraseña correspondiente.

  2. Cree un nuevo directorio cert bajo el directorio de instalación de Tomcat y copie los archivos de contraseña y certificado descomprimidos en el directorio cert.
  3. Modifique el archivo de configuración server.xml y guárdelo. Ruta del archivo: directorio de instalación de Tomcat / conf / server.xml
    1. Elimina los siguientes comentarios:

       Acercar

      <Connector  port="8443"
protocol="HTTP/1.1"
  port="8443" SSLEnabled="true"
  maxThreads="150" scheme="https" secure="true"
  clientAuth="false" sslProtocol="TLS" />
    2. Consulte lo siguiente para modificar el <Connector port="443"contenido de la etiqueta.

       Acercar

      <Connector port="443"   #port属性根据实际情况修改(https默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="Tomcat安装目录/cert/domain name.pfx" #证书名称前需加上证书的绝对路径,请使用您证书的文件名替换domain name。
    keystoreType="PKCS12"
    keystorePass="证书密码"  #请替换为密码文件pfx-password.txt中的内容。
    clientAuth="false"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
  4. Opcional:  configure el archivo web.xml para habilitar el salto forzado HTTP a HTTPS. Agregue el siguiente contenido después del archivo </ welcome-file-list>:

     Acercar

    <login-config>  
    <!-- Authorization setting for SSL -->  
    <auth-method>CLIENT-CERT</auth-method>  
    <realm-name>Client Cert Users-only Area</realm-name>  
</login-config>  
<security-constraint>  
    <!-- Authorization setting for SSL -->  
    <web-resource-collection >  
        <web-resource-name >SSL</web-resource-name>  
        <url-pattern>/*</url-pattern>  
    </web-resource-collection>  
    <user-data-constraint>  
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>  
    </user-data-constraint>  
</security-constraint>
  5. Reinicia Tomcat.
    1. Ejecute el siguiente comando para cerrar el servidor Tomcat.

       Acercar

      ./shutdown.sh
    2. Ejecute el siguiente comando para iniciar el servidor Tomcat.

       Acercar

      ./startup.sh

Operación de seguimiento

Después de instalar el certificado, puede verificar si el certificado se instaló correctamente iniciando sesión en el nombre de dominio del certificado.

 Acercar

https://domain name.com   #domain name替换成证书绑定的域名。

Si aparece un símbolo de candado verde en la barra de direcciones de la página web, significa que el certificado se instaló correctamente.

Al verificar si el certificado se instaló correctamente, si no se puede acceder al sitio web normalmente a través de https, debe confirmar si el puerto 443 del servidor donde instaló el certificado está abierto o bloqueado por otras herramientas.

giserinchina
696 artículos originales publicados · 67 alabanzas · 580,000 vistas
Sus tablero de mensajes preocupaciones

Supongo que te gusta

Origin blog.csdn.net/wxb880114/article/details/105504961
Recomendado
Clasificación
Diario
Más
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)

Code World

© 2018 codetd.com