Tomcat SSL證書安裝指南

一、獲取SSL證書

1、獲取證書文件

在您完成申請數(shù)安時代GDCA服務(wù)器證書的流程后，登錄系統(tǒng)將會下載一個壓縮文件,使用Apache_IIS_Tomcat_Server里面的文件;

2、獲取私鑰證書文件

請找到之前提交csr時生成的.key私鑰文件，該文件為證書的私鑰，后面配置要用到；

3、合成證書

1）用瀏覽器打開以下鏈接: https://www.trustauth.cn/SSLTool/tool/export_keystore.jsp

2）用記事本或者文本編輯器打開上面的證書公鑰、證書私鑰、中級證書文件，根據(jù)下圖填入合成證書信息，導(dǎo)出后會下載一個www.domainame.com.jks的文件，保存好這個文件。

二、安裝服務(wù)器證書

1、配置Tomcat

復(fù)制已正確導(dǎo)入認(rèn)證回復(fù)的youdomain.jks文件到Tomcat安裝目錄下的conf目錄，使用文本編輯器打開conf目錄下的server.xml文件（操作前備份server.xml，以備錯誤時恢復(fù)）找到并修改以下內(nèi)容

<!--     

<Connector port="8443" protocol="HTTP/1.1"               

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"   

clientAuth="false" sslProtocol="TLS" />   

-->

默認(rèn)情況下<Connector port=”8443″……/>是被注釋的，配置時需把“<!– –>”去掉，然后對其節(jié)點進行相應(yīng)的修改，需區(qū)分tomcat版本來修改。

1）Tomcat 5/6版本:（由于該版本漏洞較多，建議立即升級到tomcat7或更高版本）

2）Tomcat 7/8版本(JDK建議使用1.7_45或以上版本最佳)

<Connector port="443" protocol="HTTP/1.1"

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

keystoreFile="keystore/www.youdomain.com.jks"   keystorePass="證書密碼"

clientAuth="false" sslProtocols = "TLS"/>

3) Tomcat8.5/9版本：

<Connector port="443" protocol="org.apache.coyote.http11.Http11Nio2Protocol" maxThreads="150" SSLEnabled="true" >

<SSLHostConfig >

<Certificate certificateKeystoreFile="conf/www.yourdomain.com.jks" certificateKeystorePassword="密碼" type="RSA" />

</SSLHostConfig>

</Connector>

最后保存該配置文件，然后重啟Tomcat后再次訪問即可。

默認(rèn)的SSL訪問端口號為443，如果使用其他端口號，則您需要使https://yourdomain:port的方式來訪問您的站點，防火墻要開放相應(yīng)的port。

2、訪問測試

服務(wù)器若部署了睿信SSL證書，瀏覽器訪問時將出現(xiàn)安全鎖標(biāo)志；若部署了恒信企業(yè)EV SSL證書，瀏覽器除了顯示安全鎖標(biāo)志，地址欄會變成綠色；

三、服務(wù)器證書的備份及恢復(fù)

在您成功的安裝和配置了服務(wù)器證書之后，請務(wù)必依據(jù)下面的操作流程，備份好您的服務(wù)器證書，以防證書丟失給您帶來不便。

1、服務(wù)器證書的備份

備份服務(wù)器證書密鑰庫文件gdca.jks文件即可完成服務(wù)器證書的備份操作。

2、服務(wù)器證書的恢復(fù)

請參照服務(wù)器證書安裝部分，將服務(wù)器證書密鑰庫gdca.jks文件恢復(fù)到您的服務(wù)器上，并修改配置文件，恢復(fù)服務(wù)器證書的應(yīng)用。若服務(wù)器證書丟失，請聯(lián)系GDCA重新簽發(fā)。