Tomcat 環(huán)境SSL 服務(wù)器證書安裝配置詳細教程服務(wù)器證書受到了越來越多電商企業(yè)的青睞，它不僅可以顯示網(wǎng)站的真實性，還可以在網(wǎng)站用戶輸入密碼與用戶名時對這些信息進行加密，全程保護用戶信息安全放心完

Tomcat 環(huán)境SSL 服務(wù)器證書安裝配置詳細教程

服務(wù)器證書受到了越來越多電商企業(yè)的青睞，它不僅可以顯示網(wǎng)站的真實性，還可以在網(wǎng)站用戶輸入密碼與用戶名時對這些信息進行加密，全程保護用戶信息安全放心完成交易。但很多企業(yè)在購買了ssl 服務(wù)器證書后一頭霧水，不知道如何下手進行安裝。下面中萬網(wǎng)絡(luò)就教您如何在Tomcat 服務(wù)器上安裝SSL 證書；

一、 生成證書請求

1. 安裝JDK

安裝Tomcat 需要JDK 支持，若已安裝請忽略此步驟。JDK1.6默認只支持 SSLv3 和 TLSv1 兩個版本的https 協(xié)議，JDK 1.7 版本默認禁用SSLv3，并支持 TLSv1、TLSv1.1及TLSv1.2。Tomcat 6及以下版本在使用 JDK 1.6及以下版本的運行環(huán)境時，可能存在無法禁用 SSLv3的情況。此時建議您升級 Tomcat 及 JDK 版本，或變更使用 APR 模塊來配置SSL 證書，以確保安全方式安裝及使用服務(wù)器證書。

Java SE Development Kit (JDK) 下載地址：

2. 生成keystore 文件

生成密鑰庫文件keystore.jks 需要使用JDK 的keytool 工具。命令行進入JDK 或JRE 下的bin 目錄，運行keytool 命令（示例中粗體部分為可自定義部分，可根據(jù)實際配置情況相應(yīng)修改）。

keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore D:keystore.jks -storepass password -keypass password

以上命令中，server 為私鑰別名(-alias)，生成的keystore.jks 文件默認放在D 盤根目錄下，password 為自己設(shè)置的密碼。

3. 生成證書請求文件(CSR)

keytool -certreq -alias server -sigalg SHA256withRSA -file D:?rtreq.csr -keystore D:keystore.jks -keypass password -storepass password

請備份密鑰庫文件keystore.jks ，并稍后提交證書請求文件certreq.csr ，等待證書簽發(fā)。密鑰庫文件keystore.jks 丟失將導(dǎo)致證書不可用。

二、 導(dǎo)入服務(wù)器證書

1. 獲取服務(wù)器證書

將證書簽發(fā)郵件中的從BEGIN 到 END 結(jié)束的服務(wù)器證書內(nèi)容（包括“-----BEGIN

CERTIFICATE-----”和“-----END CERTIFICATE-----”）粘貼到記事本等文本編輯器中，并修改文件擴展名，保存為server.cer 文件

2. 獲取CA 證書

將證書簽發(fā)郵件中的從BEGIN 到 END 結(jié)束的兩張 CA 證書 內(nèi)容（包括“-----BEGIN

CERTIFICATE-----”和“-----END CERTIFICATE-----”）分別粘貼到記事本等文本編輯器中，并修改文件擴展名，保存為ca1.ce r和 ca2.cer 文件。

若簽發(fā)郵件中只有一段服務(wù)器證書內(nèi)容沒有CA 證書內(nèi)容，您可以咨詢中萬網(wǎng)絡(luò)，我們會為您提供CA 證書！

3. 查看keystore 文件內(nèi)容

進入JDK 安裝目錄下的bin 目錄，運行keytool 命令查詢keystore 文件信息。

keytool -list -keystore D:keystore.jks -storepass

password

查詢到PrivateKeyEntry （或KeyEntry ）屬性的私鑰別名(alias)為server 。記住該別名，在稍后導(dǎo)入服務(wù)器證書時需要用到（示例中粗體部分為可自定義部分，可根據(jù)實際配置情況相應(yīng)修改）。

注意，導(dǎo)入證書時，一定要使用生成證書請求文件時生成的keystore.jks 文件。keystore.jks 文件丟失或生成新的keystore.jks 文件，都將無法正確導(dǎo)入您的服務(wù)器證書。

4. 導(dǎo)入證書(如果只有一張CA 證書，則只需要導(dǎo)入一張CA 證書)

導(dǎo)入第一張中級CA 證書

keytool -import -alias ca1 -keystore D:keystore.jks -trustcacerts -storepass password -file D:?1.cer -noprompt

導(dǎo)入第二張中級CA 證書

keytool -import -alias ca2 -keystore D:keystore.jks -trustcacerts -storepass password -file D:?2.cer -noprompt

導(dǎo)入中級證書若有疑問，可向中萬網(wǎng)絡(luò)咨詢，我們會給您詳細的解答！

導(dǎo)入服務(wù)器證書（一定要注意，必須先成功導(dǎo)入中級CA 證書，再導(dǎo)入服務(wù)器證書）

keytool -import -alias server -keystore D:keystore.jks -trustcacerts -storepass password -keypass password -file

D:server.cer

導(dǎo)入服務(wù)器證書時，服務(wù)器證書的別名必須和私鑰別名一致。請留意導(dǎo)入中級CA 證書和導(dǎo)入服務(wù)器證書時的提示信息，如果您在導(dǎo)入服務(wù)器證書時使用的別名與私鑰別名不一致，將提示“認證已添加至keystore 中”而不是應(yīng)有的“認證回復(fù)已安裝在keystore 中”。

證書導(dǎo)入完成，運行keystool 命令，再次查看keystore 文件內(nèi)容

keytool -list -keystore D:keystore.jks -storepass

password

三、 安裝服務(wù)器證書

1. 配置Tomcat

復(fù)制已正確導(dǎo)入認證回復(fù)的keystore.jks 文件到Tomcat 安裝目錄下的conf 目錄。打開conf 目錄下的server.xml 文件，找到并修改以下內(nèi)容

修改為

keystoreFile="confkeystore.jks" keystorePass="password"

clientAuth="false" sslProtocol="TLS"

ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256" />

默認的SSL 訪問端口號為443，如果使用其他端口號，則您需要使用https://yourdomain:port的方式來訪問您的站點。

2. 訪問測試

重啟Tomcat ，訪問https://youdomain:port，測試證書的安裝。

四、 服務(wù)器證書的備份及恢復(fù)

在您成功的安裝和配置了服務(wù)器證書之后，請務(wù)必依據(jù)下面的操作流程，備份好您的服務(wù)器證書，以防證書丟失給您帶來不便。

1. 服務(wù)器證書的備份

備份服務(wù)器證書密鑰庫文件keystore.jks 文件即可完成服務(wù)器證書的備份操作。

2. 服務(wù)器證書的恢復(fù)

請參照服務(wù)器證書安裝部分，將服務(wù)器證書密鑰庫keystore.jks 文件恢復(fù)到您的服務(wù)器上，并修改配置文件，恢復(fù)服務(wù)器證書的應(yīng)用。

Ssl 服務(wù)器證書不僅可以保護用戶信息安全，更是企業(yè)實力的象征！若您在安裝過程中遇到問題或希望更多的認識了解服務(wù)器證書，您可以在線咨詢中萬網(wǎng)絡(luò)客服人員，我們會詳細的為您解答！