Alibaba Cloud SSL証明書サービスは、証明書のダウンロードとTomcatサーバーへのインストールをサポートしています。Tomcatは、PFX形式とJKS形式の両方の証明書をサポートしています。Tomcatのバージョンに応じて、Tomcatにインストールする形式を選択できます。このドキュメントでは、PFX形式の証明書をインストールするための具体的な手順について説明します。
前提条件
- Tomcatサーバーでポート443(HTTPSサービスのデフォルトポート)が開かれています。
- OpenSSLツールがインストールされました。
- Tomcatサーバーに必要な証明書ファイルがダウンロードされました。ダウンロードする証明書の詳細については、参照証明書をダウンロードしてください。解説
- 証明書の申請時にCSRを自動的に作成するシステムを選択しなかった場合、.txtファイルは証明書のダウンロードパッケージに含まれません。.crt証明書をダウンロードするには、別のタイプのサーバーを選択し、opensslコマンドを使用してpfxファイルを生成する必要があります。
- 自分で他の証明書を持っている場合は、opensslコマンドを使用して、独自の証明書ファイルを対応するフォーマットファイルに変換し、Tomcatサーバーにインストールできます。
- Tomcatサーバーにログインしました。
背景情報
- このチュートリアルでは、例としてTomcat 7を使用します。
- Tomcat 9では、証明書のエイリアスをtomcatに設定することが義務付けられています。に
protocol="HTTP/1.1"
変換するには、次のkeytoolコマンドを使用する必要がありますprotocol="org.apache.coyote.http11.Http11NioProtocol"
。keytool -changealias -keystore domain name.pfx -alias alias -destalias tomcat
- このドキュメントでは、証明書名の例としてドメイン名を使用しています。たとえば、証明書ファイル名はdomain name.pfxで、証明書パスワードファイル名はpfx-password.txtです。
操作手順
- ダウンロードして保存したTomcat証明書ファイルを解凍します。解凍後、フォルダーに2つのファイルが表示されます。2つの証明書ファイルの名前を変更できます。
- 証明書ファイル(ドメイン名.pfx):サフィックスまたはファイルタイプとしての.pfx。
- パスワードファイル(pfx-password.txt):サフィックスまたはファイルタイプとしての.txt。
注 証明書をダウンロードするたびに、新しいパスワードが生成されます。このパスワードは、今回ダウンロードした証明書にのみ一致します。証明書ファイルを更新する必要がある場合は、一致するパスワードも更新します。
- Tomcatインストールディレクトリの下に新しいcertディレクトリを作成し、解凍された証明書とパスワードファイルをcertディレクトリにコピーします。
- 構成ファイルserver.xmlを変更して保存します。ファイルパス:Tomcatインストールディレクトリ/ conf / server.xml
- 次のコメントを削除します。
<Connector port="8443" protocol="HTTP/1.1" port="8443" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" />
<Connector port="443"
ラベルの内容を変更するには、以下を参照してください。<Connector port="443" #port属性根据实际情况修改(https默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。 protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="Tomcat安装目录/cert/domain name.pfx" #证书名称前需加上证书的绝对路径,请使用您证书的文件名替换domain name。 keystoreType="PKCS12" keystorePass="证书密码" #请替换为密码文件pfx-password.txt中的内容。 clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
- 次のコメントを削除します。
- オプション: web.xmlファイルを構成して、HTTPへのHTTP強制ジャンプを有効にします。ファイル</ welcome-file-list>の後に次のコンテンツを追加します。
<login-config> <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name> </login-config> <security-constraint> <!-- Authorization setting for SSL --> <web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
- Tomcatを再起動します。
フォローアップ手術
証明書がインストールされたら、証明書のドメイン名にログインして、証明書が正常にインストールされたかどうかを確認できます。
https://domain name.com #domain name替换成证书绑定的域名。
緑の鍵の記号がWebページのアドレスバーに表示される場合、証明書が正常にインストールされたことを意味します。
証明書が正常にインストールされたかどうかを確認するときに、httpsを介してWebサイトに正常にアクセスできない場合は、証明書をインストールしたサーバーのポート443が他のツールによって開かれているかブロックされているかを確認する必要があります。