版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。 https://blog.csdn.net/kucoll/article/details/70238778
此文环境是centos 6.8, tomcat8, https是用的阿里云的免费dv证书,tomcat绑定的是pfx证书(Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一)。
此问目的是在开发小程序的时候需要配置https环境,且https使用的ssl必须在TLS1.2或以上,于是写了本文。Tomcat域名配置参考我另一篇文章
在申请到阿里云的免费DV证书后,下载 "证书 for Tomcat",
文件说明:
1. 证书文件214054375370509.pem,包含两段内容,请不要删除任何一段内容。
2. 如果是证书系统创建的CSR,还包含:证书私钥文件214054375370509.key、PFX格式证书文件214054375370509.pfx、PFX格式证书密码文件pfx-password.txt。
1、证书格式转换
在Tomcat的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中。如果申请证书时是自己创建的CSR文件,附件中只包含214054375370509.pem文件,还需要将私钥文件拷贝到cert目录,命名为214054375370509.key;如果是系统创建的CSR,请直接到第2步。
到cert目录下执行如下命令完成PFX格式转换命令,此处要设置PFX证书密码,请牢记:
openssl pkcs12 -export -out 214054375370509.pfx -inkey 214054375370509.key -in 214054375370509.pem
2、PFX证书安装
找到安装Tomcat目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port="8443" 标签,增加如下属性:
keystoreFile="cert/214054375370509.pfx" keystoreType="PKCS12" #此处的证书密码,请参考附件中的密码文件或在第1步中设置的密码 keystorePass="证书密码"完整的配置如下,其中port属性根据实际情况修改:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="cert/214054375370509.pfx" keystoreType="PKCS12" keystorePass="证书密码" clientAuth="false" ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4"/>
3、检测https是否安装成功,TLS1.2是否生效
进入这个网址https://www.qcloud.com/product/ssl,然后输入自己的域名即可检测(这个其实是苹果ATS检测,这里投了个机)