一、安装环境如下:
Linux版本:6.9
Tomcat版本:9.x
另外放开443端口的访问限制
二、本次试验SSL证书采购自阿里云上的GeoTrust 专业版 OV SSL
采购SSL证书注意以下几点:
1、域名类型:
通配符域名
大量子域名的超值选择!一张证书可以同时保障多个子域名的安全加固!
例如:*.aliyun.com的通配符证书只能对a.aliyun.com、b.aliyun.com域名进行保护。如果存在a.b.aliyun.com的域名需要购买*.b.aliyun.com的通配符证书
单域名
保护一个单页面网站,例如 domain.com、ssl.domain.com、ssl.ssl.domain.com ,如需要保护同根下的所有子域名,请购买通配符证书。
多域名
一张证书可以为多个独立域名提供安全保障。
例如:一个多域名证书可以同时保障 aliyun.com、aliyunShop.com 和 taobao.com 的网站安全。
2、证书类型
OV SSL
一张证书可以为多个独立域名提供安全保障。
例如:一个多域名证书可以同时保障 aliyun.com、aliyunShop.com 和 taobao.com 的网站安全。
DV SSL
通过验证您的域名,为您颁发证书,保护客户数据安全,同时可提高您网站的搜索排名。
DV SSL是企业/个人为纯信息展示类网站获得公信力的基础保证,拥有它才意味着您的网站所有权已经过严格审查。
三、SSL证书配置步骤
将申请好的SSL证书下载解压
本文档证书名称以domain name为示例,例如:证书文件名称为domain name.pfx,证书密码文件名称为pfx-password.txt。
1、Tomcat 9强制要求证书别名设置为tomcat。您需要使用以下keytool命令将protocol="HTTP/1.1"
转换成protocol="org.apache.coyote.http11.Http11NioProtocol"
keytool -changealias -keystore domain name.pfx -alias alias -destalias tomcat
2、在Tomcat安装目录下新建cert目录,将解压的证书和密码文件拷贝到cert目录下。
3、修改配置文件server.xml,并保存。文件路径:Tomcat安装目录/conf/server.xml
A:修改大约69行:如下所示
"80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" />
B:注释以下内容
C:参照以下内容修改
"443" #port属性根据实际情况修改(https默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。 protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="Tomcat安装目录/cert/domain name.pfx" #证书名称前需加上证书的绝对路径,请使用您证书的文件名替换domain name。 keystoreType="PKCS12" keystorePass="证书密码" #请替换为密码文件pfx-password.txt中的内容。
keyAlias="tomcat" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
注:.pfx默认别名是alias,前面第一步已经更改过别名了。
keytool -keystore XXX.pfx -list
然后输入密码,可以查看相关的证书的别名,类型等
D:然后重启Tomcat
通过浏览器访问domain name。查看HTTPS访问是否正常