SSL证书应用范围越来越广,安装系列第二篇介绍在Tomcat环境下如何安装。
安装整体的思路
将证书转换为tomcat所需的格式后,在tomcat服务的配置文件中按语法规则加载该证书,另按实际需求可选配置http跳转到https实现浏览器自动跳转。
简要安装步骤
Tomcat支持PFX格式和JKS两种格式的证书,您可根据您Tomcat的版本选择其中一种格式的证书安装到Tomcat上。证书格式的转换可参考上篇中提到的在线工具。
1、准备好pfx格式的证书和对应的密码。
2、在Tomcat安装目录下新建cert目录,将证书文件拷贝到cert目录下。
3、定位到Tomcat服务的配置文件,路径一般是Tomcat > conf > server.xml文件。
4、编辑server.xml配置文件,新增如下内容后保存。
<Connector port="443" protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="证书路径"
keystoreType="PKCS12"
keystorePass="证书密码"
clientAuth="false"
SSLProtocol="TLSv1.1+TLSv1.2+TLSv1.3" />######参数解析
#keystoreFile:证书文件的存放位置
#keystorePass:密码文件密码
#clientAuth:如果设为 true,表示 Tomcat 要求所有的 SSL 客户出示安全证书,对 SSL 客户进行身份验证。
#SSLProtocol: 支持的协议版本
5、(可选步骤)配置web.xml文件开启HTTP强制跳转HTTPS。
编辑web.xml文件,在结束标签 后面换行,并添加以下内容
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>定位至tomcat路径conf文件夹下,编辑server.xml文件,将 redirectPort 参数修改为 SSL 的 connector 的端口由原来的8443(可能不同实例有变化)修改成443端口。如下所示:
<Connector port="80" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443" />6、重启Tomcat服务。
其他补充
在实际应用过程中,有时会有碰到需求,需要关闭过时的加密套件算法或者协议,可以通过sslEnabledProtocols和ciphers参数来进行控制,有疑问或者想进一步了解的可关注留言交流哈。