Tomcat 怎么安裝SSL 證書方法教程1.1 服務(wù)器環(huán)境架設(shè)首先訪問Tomcat 官網(wǎng)(http://tomcat.apache.org/)當(dāng)前可根據(jù)您的系統(tǒng)下載不同的應(yīng)用程序包，我們以Windo

Tomcat 怎么安裝SSL 證書方法教程

1.1 服務(wù)器環(huán)境架設(shè)

首先訪問Tomcat 官網(wǎng)(http://tomcat.apache.org/)當(dāng)前可根據(jù)您的系統(tǒng)下載不同的應(yīng)用程序包，我們以Windows 系統(tǒng)為例。所以下載Windows 版本的 apache-tomcat-7.0.29 版本。下載Tomcat 解壓到其中一個(gè)盤符下后，進(jìn)入apache-tomcat-7.0.29 根目錄下找到bin 文件中此執(zhí)行文件“startup.bat”，運(yùn)行期間將出現(xiàn)如圖 1 所示的命令提示符窗口。

圖 1

啟動(dòng)執(zhí)行文件后，我們將輸入 Tomcat 應(yīng)用服務(wù)默認(rèn)的地址如：http://127.0.0.1:8080

圖

2

1.2 生成Csr 和Keystore 文件

進(jìn)入 DOS 命令行具體如下：開始->運(yùn)行->cmd->cd 到您安裝的jdk 的目錄, 這里我是C:Program FilesJavajdk1.5.0_04bin 圖 3

圖 3

1.2.1 生成Server 私鑰

Keytool -genkey -alias [keyEntry_name] -keyalg RSA -keystore

[keystore_name]-keysize 2048 圖 4

圖

4

以上如圖所示此命令將生成 2048 位的 RSA 私鑰，私鑰文件名

為： server，系統(tǒng)會(huì)提示您輸入keystore 密碼，缺省密碼為：changeit ，您可以指定一個(gè)新的密碼，但請(qǐng)一定要記住。

接著會(huì)提示“What is your fist and last name?”，請(qǐng)輸入您要申請(qǐng) SSL 證書的域名，而不是真的輸入您的個(gè)人姓名，如果您需要為

www.domain.com 申請(qǐng) SSL 證書就不能只輸入 domain.com 。SSL 證書是嚴(yán)格綁定域名的。

接著，輸入您的部門名稱、單位名稱、所在城市、所在省份和國(guó)家縮寫(中國(guó)填：CN ，其他國(guó)家填其縮寫) ，單位名稱一定要與證明文件上的名稱一致。除國(guó)家縮寫必須填 CN 外，其余都可以是英文或中文。

最后，要求您輸入私鑰密碼，請(qǐng)一定要為keystore 和keyEntry 輸入一樣的密碼，否則您重新啟動(dòng) Tomcat 后會(huì)提示錯(cuò)誤信息：

java.security.UnrecoverableKeyException:Cannot recover key。同時(shí)，請(qǐng)一定要記住密碼!

1.2.2 生成Csr 文件

請(qǐng)使用以下命令來(lái)生成 CSR

Keytool -certreq -alias [keyEntry name] -file request.csr -keystore

[keystorename] 圖 5

圖

5

如上圖所示此命令將生成 CSR 文件，這樣就完成了 CSR 和私鑰的生成。

1.2.3 成功生成文件

您現(xiàn)在已經(jīng)成功生成了密鑰對(duì)，私鑰文件：server 保存在您的服務(wù)器中，請(qǐng)把CSR 文件：request.csr 發(fā)給WoSign 即可。(注釋：此時(shí)兩個(gè)文件默認(rèn)存放路徑在安裝jdk 目錄中的 bin 文件夾中

如 server 和 request.csr)

如果您想測(cè)試您的 CSR 文件是否成功您可以通過記事本打開。如下圖 6：

圖 6

然后通過復(fù)制里面所有的內(nèi)容粘貼到如下地址：

圖

7

2.1 登錄wosign 站點(diǎn)

登錄 https://login.wosign.com/;輸入密碼和驗(yàn)證碼，選擇客戶端證書登錄在線購(gòu)買系統(tǒng)。

2.2 選擇證書類型

點(diǎn)右上邊橙色“申請(qǐng)證書”連接，選擇您要申請(qǐng)的 SSL 證書，點(diǎn)“立即申請(qǐng)”，如下圖所示

2.3 填寫資料

需要填寫：證書綁定的域名，申請(qǐng)年限，是否需要發(fā)票，證書簽名算法，并設(shè)置證書安裝密碼。

2.4 驗(yàn)證域名郵箱

進(jìn)入域名驗(yàn)證，可以選擇whois 郵箱驗(yàn)證，或者網(wǎng)站驗(yàn)證方式，如下圖所示，也可以先跳過驗(yàn)證，進(jìn)入下一步，再驗(yàn)證域名。

2.5 確認(rèn)訂單信息

選擇證書申請(qǐng)文件生成方式二，如下圖所示，然后確認(rèn)訂單信息。

2.6 支付訂單

可您以在線轉(zhuǎn)賬，也可以選擇線下轉(zhuǎn)賬

2.7 上傳證明材料

(SSL 用戶授權(quán)書) ，如下圖所示

2.8

等待證書簽發(fā)

證書申請(qǐng)?zhí)峤怀晒?。待客服和鑒證審核，您可以聯(lián)系您的客服專員咨詢訂單審核情況。

3.1 導(dǎo)入中級(jí)根證書

首先WoSign 將根據(jù)您提交的Csr 文件給您簽發(fā)服務(wù)器證書。此時(shí)您拿到手的壓縮文件，解壓里面的 for other server.zip 文件，會(huì)得到里面則包含了以下證書，如下圖

現(xiàn)在可以通過命令來(lái)導(dǎo)入您服務(wù)器證書比如：

Tomcat 安裝(先導(dǎo)入根證書，用戶證書最后導(dǎo)入) ：

Tomcat 安裝時(shí)需把頂級(jí)根、交叉根、中級(jí)根、用戶證書全部導(dǎo)入到keystore 中(注意：keystore 等同于 server 文件，后面會(huì)把keystore 名稱改為：server.jks 或jks.jks )

命令如下：

Keytool -import -trustcacerts -alias [keyEntry_name] -file xxx.cer -keystore

[keystore_name]

[keyEntry_name] ：別名;

xx.cer ：表示根證書文件名;

[keystore_name] ：證書容器 server;

keytool -import -trustcacerts -alias root –file 頂級(jí)根.cer

-keystorekeystore

keytool -import -trustcacerts -alias corss –file 交叉根.cer

-keystorekeystore

keytool -import -trustcacerts -alias intermediate –file 中級(jí)根.cer -keystore

keystore

3.2 導(dǎo)入服務(wù)器證書：

Keytool -import -trustcacerts -alias [keyEntry_name] -file xxx.crt -keystore

[keystore_name]

[keyEntry_name]：別名; 您制作 CSR 時(shí)候輸入的別名;

xx.crt ：表示服務(wù)器證書名稱;

[keystore_name]：證書容器 server;

keytool -import -trustcacerts -alias 別名 -file xx.crt

-keystorekeystore

在運(yùn)行此命令時(shí)會(huì)提示您輸入密碼，也就是您在生成 server 時(shí)設(shè)置的密碼。(注：當(dāng)您導(dǎo)入證書的時(shí)候如果“提示錯(cuò)誤：無(wú)法從回復(fù)中建立鏈接”此時(shí)解決的方式是：檢查證書的別名是否正確，中級(jí)根證書是否已經(jīng)導(dǎo)入)

當(dāng)導(dǎo)入證書到您的 server 時(shí)，一定要使用生成 CSR 時(shí)一樣的別名(-alias)，同時(shí)使用-trustcacerts 參數(shù)。如果不指定一樣的別名，將不能安裝成功!

驗(yàn)證檢查證書

最終導(dǎo)入中級(jí)根證書和服務(wù)器證書文件后，可以通過以下命令檢查是否包含了四級(jí)證書鏈接。命令行：keytool -list -v –keystore [證書文件]

3.3 配置部署SSL 證書

首先找到安裝 Tomcat 目錄下該文件“Server.xml”，一般默認(rèn)路徑都是在Conf 文件夾中。然后用文本編輯器打開該文件，接著找到如下圖所示

默認(rèn)情況下

是被注釋的，

我們可以把“”去掉，然后對(duì)其節(jié)點(diǎn)進(jìn)行相應(yīng)的修改，比如：port ：端口號(hào)、keystoreFile ：證書路勁(例如：conf/SSL.jks);keystorePass：證書密碼等信息。 (注：圖片中的jks.jks 是以上所說的導(dǎo)入根證書和服務(wù)器證書后的 server 文件。)

keystorePass="XXXX">

3.4 驗(yàn)證安裝結(jié)果

最后保存該配置文件，然后重啟 Tomcat 后再次訪問即可。如圖

備注：安裝完

ssl 證書后部分服務(wù)器可能會(huì)有以下錯(cuò)誤，請(qǐng)按照鏈接修復(fù)

a. 加密協(xié)議和安全套件：https://bbs.wosign.com/thread-1284-1-1.html b. 部署 https 頁(yè)面后出現(xiàn)排版錯(cuò)誤，或者提示網(wǎng)頁(yè)有不安全的因素，可參考以下鏈接：

(目前該安全簽章只支持 OV 級(jí)以上證書使用)

4.1 安裝中文簽章

(注意：簽章的顯示需要外網(wǎng)環(huán)境，且 https 使用 443 端口)

您購(gòu)買WoSign SSL證書后，將免費(fèi)獲得一個(gè)能直觀地顯示貴網(wǎng)站的認(rèn)證信息的可信網(wǎng)站安全認(rèn)證標(biāo)識(shí)，能大大增強(qiáng)用戶的在線信任，促成更多在線交易。所以，建議您在安裝成功SSL 證書后馬上在網(wǎng)站的首頁(yè)和其他頁(yè)面中添加如下代碼動(dòng)態(tài)顯示可信網(wǎng)站安全認(rèn)證標(biāo)識(shí)：