下載並在Tomcat伺服器上安裝配置PFX格式的SSL認證 - Certificate Management Service

本文介紹如何在Tomcat伺服器配置PFX格式的SSL認證，具體包括下載和上傳認證檔案，在Tomcat上配置認證檔案和認證密碼等參數，以及安裝認證後結果的驗證。成功配置SSL認證後，您將能夠通過HTTPS加密通道安全訪問Tomcat伺服器，確保資料轉送的安全性。

重要

本文以安裝在Linux作業系統中的Tomcat 9為例介紹。不同版本的作業系統或Web伺服器，部署操作可能有所差異，如有問題，請聯絡商務經理進行諮詢。

前提條件

已通過數位憑證管理服務控制台簽發認證。具體操作，請參見購買SSL認證和提交認證申請。
SSL認證綁定的網域名稱已完成DNS解析，即您的網域名稱與主機IP地址相互映射。您可以通過DNS驗證認證工具，檢測網域名稱DNS解析是否生效。具體操作，請參見DNS生效驗證。
已在Web伺服器開放443連接埠（HTTPS通訊的標準連接埠）。
如果您使用的是阿里雲ECS伺服器，請確保已經在安全性群組規則入方向添加TCP 443連接埠。具體操作，請參見添加安全性群組規則。

步驟一：下載SSL認證

登入數位憑證管理服務控制台。
在左側導覽列，選擇認證管理 > SSL認證管理。
在SSL 憑證頁面，定位到目標認證，在操作列，單擊下載。
在伺服器類型為Tomcat的操作列，單擊下載。

解壓縮已下載的SSL認證壓縮包。

根據您在提交認證申請時選擇的CSR產生方式，解壓縮獲得的檔案不同，具體如下表所示。

CSR產生方式	認證壓縮包包含的檔案
系統產生	認證檔案（PFX格式）：預設以認證ID_認證綁定網域名稱命名。密碼檔案（TXT格式）：預設以認證格式-password命名。重要每次下載認證時都會產生新的密碼，該密碼僅匹配本次下載的認證檔案。
手動填寫	如果您填寫的是通過數位憑證管理服務控制台建立的CSR，下載後包含的認證檔案與系統產生的一致。如果您填寫的不是通過數位憑證管理服務控制台建立的CSR，下載後只包括認證檔案（PEM格式），不包含認證密碼或私密金鑰檔案。您可以通過認證工具，將認證檔案和您持有的認證密碼或私密金鑰檔案轉換成所需格式。轉換認證格式的具體操作，請參見認證格式轉換。

步驟二：在Tomcat伺服器安裝認證

將解壓後的認證檔案和密碼檔案上傳到Tomcat伺服器的conf目錄。
說明
Tomcat安裝目錄與您的伺服器環境有關，您可以使用sudo find / -name *tomcat*命令，查詢Tomcat的安裝目錄。
您可以使用遠程登入工具附帶的本地檔案上傳功能，上傳檔案。例如PuTTy、Xshell或WinSCP等。如果您使用的阿里雲Elastic Compute Service，上傳檔案具體操作，請參見上傳或下載檔案（Windows）或上傳檔案到Linux雲端服務器。
進入Tomcat安裝根目錄，執行以下命令，開啟server.xml檔案。
```
vim ./conf/server.xml 
```

按照以下樣本以及注釋說明配置server.xml。

重要

為避免啟動Tomcat時出現錯誤，請在複製代碼時刪除注釋。

您可以從以下方式中選擇一種進行操作：

方式一：Tomcat伺服器自動選擇SSL的實現方式。如果按照該方式無法完成後續配置，可能是因為您的環境不支援自動選定的SSL實現方式。

配置項：

配置樣本：

<Connector port="443"   #port屬性根據實際情況修改（HTTPS預設連接埠為443）。如果使用其他連接埠號碼，則您需要使用https://domain_name:port的方式來訪問您的網站。
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="conf/domain_name.pfx" #請您替換為認證的實際路徑。
    keystoreType="PKCS12"
    keystorePass="認證密碼"  #請替換為認證密碼檔案pfx-password.txt中的內容。
    clientAuth="false"
	
    SSLProtocol="TLSv1.1+TLSv1.2+TLSv1.3"   
    ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

方式二：手動指定SSL的實現方式（指定使用JSSE實現方式）。

配置項：

配置樣本（需去掉<!- - 和 - ->注釋符）：

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true"
               maxParameterCount="1000"
               >
        <SSLHostConfig>
                <Certificate certificateKeystoreFile="conf/domain_name.pfx" #請您替換為認證的實際路徑。
                             certificateKeystorePassword="認證密碼" #請替換為認證密碼檔案pfx-password.txt中的內容。
                         type="RSA" />
        </SSLHostConfig>
    </Connector>

可選：在/conf/web.xml檔案，配置HTTP請求自動跳轉HTTPS。

進入Tomcat安裝根目錄，執行以下命令，開啟web.xml檔案。
```
vim ./conf/web.xml 
```

在web.xml檔案最底部添加以下配置項。

<security-constraint> 
         <web-resource-collection > 
              <web-resource-name >SSL</web-resource-name>  
              <url-pattern>/*</url-pattern> 
       </web-resource-collection> 
       <user-data-constraint> 
                    <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
       </user-data-constraint> 
    </security-constraint>

進入Tomcat的bin目錄，執行以下命令，停止並重啟Tomcat。
- 停止命令
```
./shutdown.sh
```
- 重啟命令
```
./startup.sh
```

步驟三：驗證SSL認證是否安裝成功

認證安裝完成後，您可通過訪問認證的綁定網域名稱驗證該認證是否安裝成功。

https://yourdomain   #需要將yourdomain替換成認證綁定的網域名稱。

如果網頁地址欄出現小鎖標誌，表示認證已經安裝成功。

image..png

Certificate Management Service：安裝PFX格式認證

前提條件

步驟一：下載SSL認證

步驟二：在Tomcat伺服器安裝認證

步驟三：驗證SSL認證是否安裝成功

相關文檔