zoukankan      html  css  js  c++  java
  • Tocmat安装SSL证书

    一、安装环境如下:

    Linux版本:6.9

    Tomcat版本:9.x

    另外放开443端口的访问限制

    二、本次试验SSL证书采购自阿里云上的GeoTrust 专业版 OV SSL

    采购SSL证书注意以下几点:

    1、域名类型:

    通配符域名

    大量子域名的超值选择!一张证书可以同时保障多个子域名的安全加固!

    例如:*.aliyun.com的通配符证书只能对a.aliyun.com、b.aliyun.com域名进行保护。如果存在a.b.aliyun.com的域名需要购买*.b.aliyun.com的通配符证书

    单域名

    保护一个单页面网站,例如 domain.com、ssl.domain.com、ssl.ssl.domain.com ,如需要保护同根下的所有子域名,请购买通配符证书。

    多域名

    一张证书可以为多个独立域名提供安全保障。

    例如:一个多域名证书可以同时保障 aliyun.com、aliyunShop.com 和 taobao.com 的网站安全。

    2、证书类型

    OV SSL

    一张证书可以为多个独立域名提供安全保障。

    例如:一个多域名证书可以同时保障 aliyun.com、aliyunShop.com 和 taobao.com 的网站安全。

    DV SSL

    通过验证您的域名,为您颁发证书,保护客户数据安全,同时可提高您网站的搜索排名。

    DV SSL是企业/个人为纯信息展示类网站获得公信力的基础保证,拥有它才意味着您的网站所有权已经过严格审查。

    三、SSL证书配置步骤

    将申请好的SSL证书下载解压

    本文档证书名称以domain name为示例,例如:证书文件名称为domain name.pfx,证书密码文件名称为pfx-password.txt。

    1、Tomcat 9强制要求证书别名设置为tomcat。您需要使用以下keytool命令将protocol="HTTP/1.1"转换成protocol="org.apache.coyote.http11.Http11NioProtocol"

    keytool -changealias -keystore domain name.pfx -alias alias -destalias tomcat

    2、在Tomcat安装目录下新建cert目录,将解压的证书和密码文件拷贝到cert目录下。

    3、修改配置文件server.xml,并保存。文件路径:Tomcat安装目录/conf/server.xml

      A:修改大约69行:如下所示

    <Connector port="80" protocol="HTTP/1.1"
                   connectionTimeout="20000"
                   redirectPort="443" />

      B:注释以下内容

    <!--
    <Connector  port="8443"
    protocol="HTTP/1.1"
      port="8443" SSLEnabled="true"
      maxThreads="150" scheme="https" secure="true"
      clientAuth="false" sslProtocol="TLS" />
    -->

      C:参照以下内容修改<Connector port="443"标签内容。

    <Connector port="443"   #port属性根据实际情况修改(https默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。
        protocol="HTTP/1.1"
        SSLEnabled="true"
        scheme="https"
        secure="true"
        keystoreFile="Tomcat安装目录/cert/domain name.pfx" #证书名称前需加上证书的绝对路径,请使用您证书的文件名替换domain name。
        keystoreType="PKCS12"
        keystorePass="证书密码"  #请替换为密码文件pfx-password.txt中的内容。
       keyAlias="tomcat" clientAuth
    ="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

    注:.pfx默认别名是alias,前面第一步已经更改过别名了。

     keytool -keystore XXX.pfx -list

    然后输入密码,可以查看相关的证书的别名,类型等

      D:然后重启Tomcat

    通过浏览器访问domain name。查看HTTPS访问是否正常

  • 相关阅读:
    【2019-08-03】自卑和悲观是有区别的
    你现在不用写代码了吧?
    【2019-08-02】信任是一种能力
    【2019-08-01】给孩子一个渴望长大的榜样
    【一句日历】2019年8月
    【2019-07-31】一切皆有寓意
    【2019-07-30】原来努力会上瘾
    【2019-07-29】睡多了,会被宰的
    【2019-07-28】活到老,学到老
    【2019-07-27】习惯的力量很强大
  • 原文地址:https://www.cnblogs.com/eeexu123/p/13140230.html
Copyright © 2011-2022 走看看