一、安装证书
(温馨提示:安装证书前请先备份您需要修改的服务器配置文件)
1.确认证书文件及证书路径。
例证书文件为:zzidc.com.jks,放置目录为Tomcat的conf目录下。
2.配置server.xml文件。
打开conf目录下的server.xml文件,找到并修改以下内容:
<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
SSL访问端口
-->
去掉注释并修改为:
< Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
keystoreFile="keystore/SSL.jks" keystorePass="证书密码"
clientAuth="false" sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />
例:
3.本地测试访问。
如果本地测试,请做本地解析访问:打开C:WindowsSystem32Driversetchosts文件,用文本编辑器修 改,把证书绑定的域名解析到本地ip。
4.完成配置后的效果。
启动tomcat,访问https://+证书绑定的域名:
注:部署完毕后若网站无法通过https正常访问,可确认服务器443端口是否开启或被网站卫士等加速工具拦截。
(1)开启方法:防火墙设置-例外端口-添加443端口(TCP)。
(2)若被安全或加速工具拦截,可以在拦截记录中将443添加至信任列表。
重启后,重新通过https访问。
如果您的tomcat使用第二步配置无效.请使用以下配置:
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true"
keystoreFile="/root/tomcat.jks" keystorePass="123456"
>
<!--<SSLHostConfig>
<Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
type="RSA" />
</SSLHostConfig>-->
</Connector>
二、安装安全签章
全球可信网站安全认证签章为动态显示的标识(含网站访问时实时时间),不是静态图片,不可复制和不可假冒,只能在通过认证的网站使用。点击认证标识,可以显示此网站拥有者的认证信息,否则,就不是合法使用认证标识。目前该认证签章支持OV级以上证书使用,您购买了景安SSL证书后,将免费获得一个能直观地显示贵网站的认证信息的可信网站安全认证标识,能大大增强用户的在线信任,促成更多在线交易。所以,建议您在安装成功SSL证书后,马上在网站的首页和其他页面中添加如下代码动态显示可信网站安全认证标识。
安装中文签章
如果您希望在中文页面显示认证标识,则在中文页面添加如下代码:
<SCRIPT LANGUAGE="JavaScript" TYPE="text/javascript" SRC="https://seal.wosign.com/tws.js"></SCRIPT>
安装英文签章
如果您希望在中文页面显示认证标识,则在英文页面添加如下代码:
<SCRIPT LANGUAGE="JavaScript" TYPE="text/javascript" SRC="https://seal.wosign.com/tws-en.js"></SCRIPT>
三、SSL证书的备份
请保存好收到的证书压缩包文件及密码,以防丢失