2.Tomcat环境SSL服务器证书安装配置详细教程
Tomcat 环境SSL 服务器证书安装配置详细教程服务器证书受到了越来越多电商企业的青睐,它不仅可以显示网站的真实性,还可以在网站用户输入密码与用户名时对这些信息进行加密,全程保护用户信息安全放心完
Tomcat 环境SSL 服务器证书安装配置详细教程
服务器证书受到了越来越多电商企业的青睐,它不仅可以显示网站的真实性,还可以在网站用户输入密码与用户名时对这些信息进行加密,全程保护用户信息安全放心完成交易。但很多企业在购买了ssl 服务器证书后一头雾水,不知道如何下手进行安装。下面中万网络就教您如何在Tomcat 服务器上安装SSL 证书;
一、 生成证书请求
1. 安装JDK
安装Tomcat 需要JDK 支持,若已安装请忽略此步骤。JDK1.6默认只支持 SSLv3 和 TLSv1 两个版本的https 协议,JDK 1.7 版本默认禁用SSLv3,并支持 TLSv1、TLSv1.1及TLSv1.2。Tomcat 6及以下版本在使用 JDK 1.6及以下版本的运行环境时,可能存在无法禁用 SSLv3的情况。此时建议您升级 Tomcat 及 JDK 版本,或变更使用 APR 模块来配置SSL 证书,以确保安全方式安装及使用服务器证书。
Java SE Development Kit (JDK) 下载地址:
2. 生成keystore 文件
生成密钥库文件keystore.jks 需要使用JDK 的keytool 工具。命令行进入JDK 或JRE 下的bin 目录,运行keytool 命令(示例中粗体部分为可自定义部分,可根据实际配置情况相应修改)。
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore D:keystore.jks -storepass password -keypass password
,
以上命令中,server 为私钥别名(-alias),生成的keystore.jks 文件默认放在D 盘根目录下,password 为自己设置的密码。
3. 生成证书请求文件(CSR)
keytool -certreq -alias server -sigalg SHA256withRSA -file D:�rtreq.csr -keystore D:keystore.jks -keypass password -storepass password
请备份密钥库文件keystore.jks ,并稍后提交证书请求文件certreq.csr ,等待证书签发。密钥库文件keystore.jks 丢失将导致证书不可用。
二、 导入服务器证书
1. 获取服务器证书
将证书签发邮件中的从BEGIN 到 END 结束的服务器证书内容(包括“-----BEGIN
CERTIFICATE-----”和“-----END CERTIFICATE-----”)粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为server.cer 文件
2. 获取CA 证书
,将证书签发邮件中的从BEGIN 到 END 结束的两张 CA 证书 内容(包括“-----BEGIN
CERTIFICATE-----”和“-----END CERTIFICATE-----”)分别粘贴到记事本等文本编辑器中,并修改文件扩展名,保存为ca1.ce r和 ca2.cer 文件。
若签发邮件中只有一段服务器证书内容没有CA 证书内容,您可以咨询中万网络,我们会为您提供CA 证书!
3. 查看keystore 文件内容
进入JDK 安装目录下的bin 目录,运行keytool 命令查询keystore 文件信息。
keytool -list -keystore D:keystore.jks -storepass
password
查询到PrivateKeyEntry (或KeyEntry )属性的私钥别名(alias)为server 。记住该别名,在稍后导入服务器证书时需要用到(示例中粗体部分为可自定义部分,可根据实际配置情况相应修改)。
注意,导入证书时,一定要使用生成证书请求文件时生成的keystore.jks 文件。keystore.jks 文件丢失或生成新的keystore.jks 文件,都将无法正确导入您的服务器证书。
4. 导入证书(如果只有一张CA 证书,则只需要导入一张CA 证书)
导入第一张中级CA 证书
keytool -import -alias ca1 -keystore D:keystore.jks -trustcacerts -storepass password -file D:�1.cer -noprompt
导入第二张中级CA 证书
keytool -import -alias ca2 -keystore D:keystore.jks -trustcacerts -storepass password -file D:�2.cer -noprompt
导入中级证书若有疑问,可向中万网络咨询,我们会给您详细的解答!
,
导入服务器证书(一定要注意,必须先成功导入中级CA 证书,再导入服务器证书)
keytool -import -alias server -keystore D:keystore.jks -trustcacerts -storepass password -keypass password -file
D:server.cer
导入服务器证书时,服务器证书的别名必须和私钥别名一致。请留意导入中级CA 证书和导入服务器证书时的提示信息,如果您在导入服务器证书时使用的别名与私钥别名不一致,将提示“认证已添加至keystore 中”而不是应有的“认证回复已安装在keystore 中”。
证书导入完成,运行keystool 命令,再次查看keystore 文件内容
keytool -list -keystore D:keystore.jks -storepass
password
三、 安装服务器证书
1. 配置Tomcat
,复制已正确导入认证回复的keystore.jks 文件到Tomcat 安装目录下的conf 目录。打开conf 目录下的server.xml 文件,找到并修改以下内容
修改为
keystoreFile="confkeystore.jks" keystorePass="password" clientAuth="false" sslProtocol="TLS" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256" /> 默认的SSL 访问端口号为443,如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的站点。 2. 访问测试 重启Tomcat ,访问https://youdomain:port,测试证书的安装。 四、 服务器证书的备份及恢复 在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。 1. 服务器证书的备份 备份服务器证书密钥库文件keystore.jks 文件即可完成服务器证书的备份操作。 2. 服务器证书的恢复 请参照服务器证书安装部分,将服务器证书密钥库keystore.jks 文件恢复到您的服务器上,并修改配置文件,恢复服务器证书的应用。 Ssl 服务器证书不仅可以保护用户信息安全,更是企业实力的象征!若您在安装过程中遇到问题或希望更多的认识了解服务器证书,您可以在线咨询中万网络客服人员,我们会详细的为您解答!