在Tomcat服務(wù)器上安裝SSL證書(shū)的步驟

頒發(fā)證書(shū)后，您可以繼續(xù)在Tomcat服務(wù)器上安裝它。

根據(jù)從證書(shū)頒發(fā)機(jī)構(gòu)收到證書(shū)的證書(shū)格式，有不同的方法將文件導(dǎo)入密鑰庫(kù)。

PKCS＃7（.p7b）

如果您收到的證書(shū)為PKCS＃7格式（證書(shū)文件的擴(kuò)展名為.p7b或.cer），則它已包含必需的中間證書(shū)和根證書(shū)。此外，擴(kuò)展名為.p7b的證書(shū)可以是已下載在用戶賬戶中。運(yùn)行以下命令以將其導(dǎo)入密鑰庫(kù)：

keytool -import -trustcacerts -alias tomcat -keystore example.jks -file example.p7b

如果證書(shū)已成功導(dǎo)入，您將看到消息“ 證書(shū)回復(fù)已安裝在密鑰庫(kù)中”。您可以使用以下命令檢查導(dǎo)入到密鑰庫(kù)的證書(shū)的詳細(xì)信息：

keytol -list –密鑰庫(kù)示例。jks –v

PEM（.crt）

如果您收到的是PEM格式的證書(shū)（文件擴(kuò)展名為.crt），則需要將根證書(shū)，中間證書(shū)和為您的域名頒發(fā)的證書(shū)分別從根證書(shū)開(kāi)始，并以與您的域名證書(shū)。

要導(dǎo)入根證書(shū)，請(qǐng)運(yùn)行以下命令：

keytool -import -alias root -keystore example.jks -trustcacerts -file root.crt

導(dǎo)入中間證書(shū)：

keytool-導(dǎo)入-alias中間-keystore example.jks -trustcacerts-文件middle.crt

注意：某些證書(shū)具有多個(gè)中間證書(shū)，并且應(yīng)將所有證書(shū)以正確的順序?qū)朊荑€庫(kù)中，從根簽名的證書(shū)開(kāi)始，再以為證書(shū)的最終實(shí)體證書(shū)簽名的中間證書(shū)結(jié)束域。您需要對(duì)不同的中間證書(shū)使用不同的別名。例如，對(duì)于COMODO（現(xiàn)在是Sectigo）PositiveSSL證書(shū)，首先需要導(dǎo)入根證書(shū)AddTrustExternalCARoot.crt，然后是中間證書(shū)COMODORSAAddTrustCA.crt，最后是COMODORSADomainValidationSecureServerCA.crt

因此，在導(dǎo)入根證書(shū)和中間證書(shū)之后，請(qǐng)使用以下命令導(dǎo)入為域名發(fā)行的證書(shū)：

keytool -import -alias tomcat -keystore example.jks -file example.crt

別名應(yīng)與創(chuàng)建密鑰庫(kù)時(shí)指示的別名一致。

成功導(dǎo)入后，您需要編輯Tomcat配置文件。通常，它稱為server.xml，通常可以在Home_Directory / conf文件夾中找到。

默認(rèn)情況下，它應(yīng)如下所示：

《Connector端口=“ 443”協(xié)議=“ HTTP / 1.1”SSLEnabled =“ true”方案=“ https” secure =“ true” clientAuth =“ false”sslProtocol =“ TLS” keystoreFile =” / your_path / yourkeystore.jks”keystorePass =“ password_for_your_key_store” /》

您需要使用指向密鑰庫(kù)文件位置的路徑來(lái)修改指令keystoreFile，并使用密鑰庫(kù)的密碼來(lái)修改keystorePass。

如果這是您第一次在Tomcat上配置SSL證書(shū)，則首先需要通過(guò)刪除要取消注釋部分的《！–和–》來(lái)取消對(duì)SSL Connector配置的注釋。另外，可能缺少keystoreFile和keystorePass行–您將需要手動(dòng)輸入這些指令。

如果您的密鑰庫(kù)包含多個(gè)私鑰別名，則需要添加“ keyAlias”指令以及對(duì)所需別名地引用。

keyAlias =“ tomcat”保存更改并重新啟動(dòng)Tomcat Web服務(wù)。

PKCS＃12（.pfx）

如果您具有PEM格式的密鑰，請(qǐng)使用以下命令創(chuàng)建PKCS＃12格式的證書(shū) 這個(gè)工具 （從PEM到PKCS＃12）。

除此之外，請(qǐng)使用以下命令：

openssl pkcs12-導(dǎo)出-out your_pfx_certificate.pfx -inkey your_private.key -in your_pem_certificate.crt -certfile CA-bundle.crt

要使.pfx或.p12文件在Tomcat上運(yùn)行而不將其解壓縮到新的密鑰庫(kù)中，只需在連接器中為必需的端口指定它，并添加keystoreType =“ PKCS12 ”指令即可。