SSL部署文档

服务器证书安装配置指南(Tomcat )

一、   制作服务器证书

 

1,首先准备好server.key私钥文件。如您手上没有私钥.key文件,可以联系生成CSR文件人员或联系天威诚信商务人员咨询。 

2,将证书签发邮件中的从-----BEGIN到 END-----结束的服务器证书所有内容粘贴到记事本等文本编辑器中。 

在服务器证书代码文本结尾,回车换行不留空行,并分别粘贴所有中级CA证书代码从-----BEGIN到 END-----结束,每串证书代码之间均需要使用回车换行不留空行,修改文件扩展名,保存包含多段证书代码的文本文件为server.pem文件。 

3,使用天威诚信CIM工具 下载地址: https://cim.itrus.cn

点击工具箱,点击证书格式转换,源文件选择pem,目标文件选择jks,在源证书文件中录入server.pem,源私钥文件中录入server.key文件。(源私钥密码处为空)

4,在“目标证书别名”中设置私钥别名为默认的“tomcat”,并在“目标证书密码”中自定义设置JKS文件密码。

5,点击证书格式转换后,点击保存JKS文件即可下载转换后的文件,重命名为server.jks。

 

二、  安装服务器证书

1.  配置Tomcat

复制已正确导入认证回复的server.jks文件到Tomcat安装目录下的conf目录。打开conf目录下的server.xml文件,找到并修改以下内容

        <connector protocol="org.apache.coyote.http11.Http11Protocol"      

<!—

  <Connector protocol="org.apache.coyote.http11.Http11Protocol"

               port="8443" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS" />

    -->

修改为

<connector protocol="org.apache.coyote.http11.Http11Protocol"              

   <Connector protocol="org.apache.coyote.http11.Http11Protocol"

                   port="443" SSLEnabled="true"

                   maxThreads="150" scheme="https" secure="true"

               keystoreFile="conf\keystore.jks" keystorePass="password"

               clientAuth="false" sslProtocol="TLS"

 ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"  /> 

默认的SSL访问端口号为443,如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的站点。

2.  访问测试

重启Tomcat,访问https://youdomain:port,测试证书的安装。


三、  服务器证书的备份及恢复

在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。

1.  服务器证书的备份

备份服务器证书密钥库文件server.jks文件即可完成服务器证书的备份操作。

2.  服务器证书的恢复

请参照服务器证书安装部分,将服务器证书密钥库server.jks文件恢复到您的服务器上,并修改配置文件,恢复服务器证书的应用。