O serviço de certificado SSL da Alibaba Cloud suporta o download e a instalação do certificado no servidor Tomcat. O Tomcat suporta certificados nos formatos PFX e JKS. Você pode escolher um desses formatos para instalar no Tomcat de acordo com sua versão do Tomcat. Este documento descreve as etapas específicas para instalar o certificado no formato PFX.
Pré-requisitos
- A porta 443 (a porta padrão do serviço HTTPS) foi aberta no seu servidor Tomcat.
- A ferramenta OpenSSL foi instalada.
- O arquivo de certificado exigido pelo servidor Tomcat foi baixado. Para a operação específica de download de certificado, consulte Download de certificado . Explicação
- Se você não selecionou o sistema para criar automaticamente um CSR ao solicitar um certificado, o arquivo .txt não será incluído no pacote de download do certificado. Você precisa selecionar outro tipo de servidor para baixar o certificado .crt e usar o comando openssl para gerar o arquivo pfx.
- Se você possui outros certificados, pode usar o comando openssl para converter seu próprio arquivo de certificado em um arquivo de formato correspondente e instalá-lo no servidor Tomcat.
- Você fez login no servidor Tomcat.
Informações básicas
- Este tutorial usa o Tomcat 7 como exemplo.
- O Tomcat 9 exige que o alias do certificado esteja definido como tomcat. Você precisa usar o seguinte comando keytool para
protocol="HTTP/1.1"
converter emprotocol="org.apache.coyote.http11.Http11NioProtocol"
.keytool -changealias -keystore domain name.pfx -alias alias -destalias tomcat
- O nome do certificado neste documento usa o nome de domínio como exemplo, por exemplo, o nome do arquivo de certificado é domain.pfx e o nome do arquivo de senha do certificado é pfx-password.txt.
Etapas de operação
- Descompacte o arquivo de certificado Tomcat baixado e salvo. Após descompactar, você verá 2 arquivos na pasta, pode renomear os dois arquivos de certificado.
- Arquivo de certificado (nome do domínio.pfx): .pfx como sufixo ou tipo de arquivo.
- Arquivo de senha (pfx-password.txt): .txt como o sufixo ou o tipo de arquivo.
Nota Cada vez que você baixa um certificado, uma nova senha é gerada, que corresponde apenas ao certificado que você baixou dessa vez. Se você precisar atualizar o arquivo de certificado, atualize também a senha correspondente.
- Crie um novo diretório cert no diretório de instalação do Tomcat e copie os arquivos de certificado e senha descompactados no diretório cert.
- Modifique o arquivo de configuração server.xml e salve-o. Caminho do arquivo: Diretório de instalação do Tomcat / conf / server.xml
- Remova os seguintes comentários:
<Connector port="8443" protocol="HTTP/1.1" port="8443" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" />
- Consulte o seguinte para modificar o
<Connector port="443"
conteúdo da etiqueta.<Connector port="443" #port属性根据实际情况修改(https默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。 protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="Tomcat安装目录/cert/domain name.pfx" #证书名称前需加上证书的绝对路径,请使用您证书的文件名替换domain name。 keystoreType="PKCS12" keystorePass="证书密码" #请替换为密码文件pfx-password.txt中的内容。 clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
- Remova os seguintes comentários:
- Opcional: Configure o arquivo web.xml para ativar o salto forçado HTTP para HTTPS. Adicione o seguinte conteúdo após o arquivo </ welcome-file-list>:
<login-config> <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name> </login-config> <security-constraint> <!-- Authorization setting for SSL --> <web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
- Reinicie o Tomcat.
Operação de acompanhamento
Após a instalação do certificado, você pode verificar se o certificado foi instalado com êxito efetuando login no nome de domínio do certificado.
https://domain name.com #domain name替换成证书绑定的域名。
Se um símbolo de cadeado verde aparecer na barra de endereço da página da Web, significa que o certificado foi instalado com sucesso.
Ao verificar se o certificado foi instalado com sucesso, se o site não puder ser acessado normalmente por https, é necessário confirmar se a porta 443 do servidor em que você instalou o certificado está aberta ou bloqueada por outras ferramentas.