Tomcat服务器安装SSL证书>安装PFX格式证书

前提条件

• 您的Tomcat服务器上已经开启了443端口（HTTPS服务的默认端口）。
• 已下载Tomcat服务器所需要的证书文件。
• 

操作步骤

1. 解压已下载保存到本地的Tomcat证书文件。
   解压后您将看到文件夹中有2个文件，您可为两个证书文件重命名。

   • 证书文件（domain name.pfx）：以.pfx为后缀或文件类型。
   • 密码文件（pfx-password.txt）：以.txt为后缀或文件类型。

   

    

   说明 每次下载证书都会产生新的密码，该密码仅匹配本次下载的证书。如果需要更新证书文件，同时也要更新匹配的密码。
2. 在Tomcat安装目录下新建cert目录，将解压的证书和密码文件拷贝到cert目录下。
3. 修改配置文件server.xml，并保存。
   文件路径：Tomcat安装目录/conf/server.xml

方法一：去掉tomcat原有以下内容的注释：

<Connector  port="8443"
protocol="HTTP/1.1"
  port="8443" SSLEnabled="true"
  maxThreads="150" scheme="https" secure="true"
  clientAuth="false" sslProtocol="TLS" />



方法二：参照以下内容修改<Connector port="443"标签内容。

<Connector port="443"   #port属性根据实际情况修改（https默认端口为443）。如果使用其他端口号，则您需要使用https://yourdomain:port的方式来访问您的网站。
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="C:/Tomcat安装目录/cert/domain name.pfx" #证书名称前需加上证书的绝对路径，请使用您证书的文件名替换domain name。
    keystoreType="PKCS12"
    keystorePass="证书密码"  #请替换为密码文件pfx-password.txt中的内容。
    clientAuth="false"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

4、可选： 配置web.xml文件，开启HTTP强制跳转HTTPS。

在文件</welcome-file-list>后添加以下内容：（也可以直接添加）

<login-config>  
    <!-- Authorization setting for SSL -->  
    <auth-method>CLIENT-CERT</auth-method>  
    <realm-name>Client Cert Users-only Area</realm-name>  
</login-config>  
<security-constraint>  
    <!-- Authorization setting for SSL -->  
    <web-resource-collection >  
        <web-resource-name >SSL</web-resource-name>  
        <url-pattern>/*</url-pattern>  
    </web-resource-collection>  
    <user-data-constraint>  
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>  
    </user-data-constraint>  
</security-constraint>

重启Tomcat。

1. 执行以下命令关闭Tomcat服务器。
    

   ./shutdown.sh

2. 执行以下命令开启Tomcat服务器。
    

   ./startup.sh