服务器证书安装配置指南(Tomcat )
一、 制作服务器证书
1,首先准备好server.key私钥文件。如您手上没有私钥.key文件,可以联系生成CSR文件人员或联系天威诚信商务人员咨询。
2,将证书签发邮件中的从-----BEGIN到 END-----结束的服务器证书所有内容粘贴到记事本等文本编辑器中。
在服务器证书代码文本结尾,回车换行不留空行,并分别粘贴所有中级CA证书代码从-----BEGIN到 END-----结束,每串证书代码之间均需要使用回车换行不留空行,修改文件扩展名,保存包含多段证书代码的文本文件为server.pem文件。
3,使用天威诚信CIM工具 下载地址: https://cim.itrus.cn
点击工具箱,点击证书格式转换,源文件选择pem,目标文件选择jks,在源证书文件中录入server.pem,源私钥文件中录入server.key文件。(源私钥密码处为空)
4,在“目标证书别名”中设置私钥别名为默认的“tomcat”,并在“目标证书密码”中自定义设置JKS文件密码。
5,点击证书格式转换后,点击保存JKS文件即可下载转换后的文件,重命名为server.jks。
二、 安装服务器证书
1. 配置Tomcat
复制已正确导入认证回复的server.jks文件到Tomcat安装目录下的conf目录。打开conf目录下的server.xml文件,找到并修改以下内容
<connector protocol="org.apache.coyote.http11.Http11Protocol"
<!—
<Connector protocol="org.apache.coyote.http11.Http11Protocol"
port="8443" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
-->
修改为
<connector protocol="org.apache.coyote.http11.Http11Protocol"
<Connector protocol="org.apache.coyote.http11.Http11Protocol"
port="443" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="conf\keystore.jks" keystorePass="password"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256" />
默认的SSL访问端口号为443,如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的站点。
2. 访问测试
重启Tomcat,访问https://youdomain:port,测试证书的安装。
三、 服务器证书的备份及恢复
在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。
1. 服务器证书的备份
备份服务器证书密钥库文件server.jks文件即可完成服务器证书的备份操作。
2. 服务器证书的恢复
请参照服务器证书安装部分,将服务器证书密钥库server.jks文件恢复到您的服务器上,并修改配置文件,恢复服务器证书的应用。