本文介紹如何在Tomcat伺服器配置JKS格式的SSL認證,具體包括下載和上傳認證檔案,在Tomcat上配置認證檔案和認證密碼等參數,以及安裝認證後結果的驗證。成功配置SSL認證後,您將能夠通過HTTPS加密通道安全訪問Tomcat伺服器,確保資料轉送的安全性。
本文以安裝在Linux作業系統中的Tomcat 9為例介紹。不同版本的作業系統或Web伺服器,部署操作可能有所差異,如有問題,請聯絡商務經理進行諮詢。
前提條件
步驟一:下載SSL認證
登入數位憑證管理服務控制台。
在左側導覽列,選擇。
在SSL 憑證頁面,定位到目標認證,在操作列,單擊下載。
在伺服器類型為JKS的操作列,單擊下載。
解壓縮已下載的SSL認證壓縮包。
根據您在提交認證申請時選擇的CSR產生方式,解壓縮獲得的檔案不同,具體如下表所示。
CSR產生方式
認證壓縮包包含的檔案
系統產生
包括以下檔案:
認證檔案(JKS格式):預設以認證ID_認證綁定網域名稱命名。
密碼檔案(TXT格式):預設以認證格式-password命名。
重要每次下載認證時都會產生新的密碼,該密碼僅匹配本次下載的認證檔案。
手動填寫
如果您填寫的是通過數位憑證管理服務控制台建立的CSR,下載後包含的認證檔案與系統產生的一致。
如果您填寫的不是通過數位憑證管理服務控制台建立的CSR,下載後只包括認證檔案(PEM格式),不包含認證密碼或私密金鑰檔案。您可以通過認證工具,將認證檔案和您持有的認證密碼或私密金鑰檔案轉換成所需格式。轉換認證格式的具體操作,請參見認證格式轉換。
步驟二:在Tomcat伺服器安裝認證
將解壓後的認證檔案和私密金鑰檔案上傳到Tomcat伺服器的conf目錄。
說明Tomcat安裝目錄與您的伺服器環境有關。您可以使用
sudo find / -name tomcat
命令,查詢Tomcat的安裝目錄。您可以使用遠程登入工具附帶的本地檔案上傳功能,上傳檔案。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里雲Elastic Compute Service,上傳檔案具體操作,請參見上傳或下載檔案(Windows)或上傳檔案到Linux雲端服務器。
進入Tomcat安裝根目錄,執行以下命令,開啟server.xml檔案。
vim ./conf/server.xml
按照以下樣本以及注釋說明配置server.xml。
重要為避免啟動Tomcat時出現錯誤,請在複製代碼時刪除注釋。
配置項:
配置樣本:
<!-- #port屬性根據實際情況修改(HTTPS預設連接埠為443)。如果使用其他連接埠號碼,則您需要使用https://domain_name:port的方式來訪問您的網站。 keystoreFile值需替換為認證的實際路徑。 keystorePass值需替換為認證密碼檔案jks-password.txt中的內容。 如需瞭解其他配置項,請前往Tomcat官網查看。 --> <Connector port="443" protocol="HTTP/1.1" connectionTimeout="20000" redirectport="8443" maxParameterCount="1000" SSLEnabled="true" scheme="https" secure="true" keystoreFile="conf/domain_name.jks" keystoreType="JKS" keystorePass="認證密碼" clientAuth="false" SSLProtocol="TLSv1.1+TLSv1.2+TLSv1.3" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
進入Tomcat的bin目錄,執行以下命令,停止並重啟Tomcat。
停止命令
./shutdown.sh
重啟命令
./startup.sh
步驟三:驗證SSL認證是否安裝成功
認證安裝完成後,您可通過訪問認證的綁定網域名稱驗證該認證是否安裝成功。
https://yourdomain #需要將yourdomain替換成認證綁定的網域名稱。
如果網頁地址欄出現小鎖標誌,表示認證已經安裝成功。