Tomcat SSL證書(shū)安裝指南

一、獲取SSL證書(shū)

1、獲取證書(shū)文件

在您完成申請(qǐng)數(shù)安時(shí)代GDCA服務(wù)器證書(shū)的流程后，登錄系統(tǒng)將會(huì)下載一個(gè)壓縮文件,使用Apache_IIS_Tomcat_Server里面的文件;

2、獲取私鑰證書(shū)文件

請(qǐng)找到之前提交csr時(shí)生成的.key私鑰文件，該文件為證書(shū)的私鑰，后面配置要用到；

3、合成證書(shū)

1）用瀏覽器打開(kāi)以下鏈接: https://www.trustauth.cn/SSLTool/tool/export_keystore.jsp

2）用記事本或者文本編輯器打開(kāi)上面的證書(shū)公鑰、證書(shū)私鑰、中級(jí)證書(shū)文件，根據(jù)下圖填入合成證書(shū)信息，導(dǎo)出后會(huì)下載一個(gè)www.domainame.com.jks的文件，保存好這個(gè)文件。

二、安裝服務(wù)器證書(shū)

1、配置Tomcat

復(fù)制已正確導(dǎo)入認(rèn)證回復(fù)的youdomain.jks文件到Tomcat安裝目錄下的conf目錄，使用文本編輯器打開(kāi)conf目錄下的server.xml文件（操作前備份server.xml，以備錯(cuò)誤時(shí)恢復(fù)）找到并修改以下內(nèi)容

<!--     

<Connector port="8443" protocol="HTTP/1.1"               

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"   

clientAuth="false" sslProtocol="TLS" />   

-->

默認(rèn)情況下<Connector port=”8443″……/>是被注釋的，配置時(shí)需把“<!– –>”去掉，然后對(duì)其節(jié)點(diǎn)進(jìn)行相應(yīng)的修改，需區(qū)分tomcat版本來(lái)修改。

1）Tomcat 5/6版本:（由于該版本漏洞較多，建議立即升級(jí)到tomcat7或更高版本）

2）Tomcat 7/8版本(JDK建議使用1.7_45或以上版本最佳)

<Connector port="443" protocol="HTTP/1.1"

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

keystoreFile="keystore/www.youdomain.com.jks"   keystorePass="證書(shū)密碼"

clientAuth="false" sslProtocols = "TLS"/>

3) Tomcat8.5/9版本：

<Connector port="443" protocol="org.apache.coyote.http11.Http11Nio2Protocol" maxThreads="150" SSLEnabled="true" >

<SSLHostConfig >

<Certificate certificateKeystoreFile="conf/www.yourdomain.com.jks" certificateKeystorePassword="密碼" type="RSA" />

</SSLHostConfig>

</Connector>

最后保存該配置文件，然后重啟Tomcat后再次訪問(wèn)即可。

默認(rèn)的SSL訪問(wèn)端口號(hào)為443，如果使用其他端口號(hào)，則您需要使https://yourdomain:port的方式來(lái)訪問(wèn)您的站點(diǎn)，防火墻要開(kāi)放相應(yīng)的port。

2、訪問(wèn)測(cè)試

服務(wù)器若部署了睿信SSL證書(shū)，瀏覽器訪問(wèn)時(shí)將出現(xiàn)安全鎖標(biāo)志；若部署了恒信企業(yè)EV SSL證書(shū)，瀏覽器除了顯示安全鎖標(biāo)志，地址欄會(huì)變成綠色；

三、服務(wù)器證書(shū)的備份及恢復(fù)

在您成功的安裝和配置了服務(wù)器證書(shū)之后，請(qǐng)務(wù)必依據(jù)下面的操作流程，備份好您的服務(wù)器證書(shū)，以防證書(shū)丟失給您帶來(lái)不便。

1、服務(wù)器證書(shū)的備份

備份服務(wù)器證書(shū)密鑰庫(kù)文件gdca.jks文件即可完成服務(wù)器證書(shū)的備份操作。

2、服務(wù)器證書(shū)的恢復(fù)

請(qǐng)參照服務(wù)器證書(shū)安裝部分，將服務(wù)器證書(shū)密鑰庫(kù)gdca.jks文件恢復(fù)到您的服務(wù)器上，并修改配置文件，恢復(fù)服務(wù)器證書(shū)的應(yīng)用。若服務(wù)器證書(shū)丟失，請(qǐng)聯(lián)系GDCA重新簽發(fā)。