Tomcat下SSL证书的安装 |
如果是使用在线工具制作的CSR文件
|
请打开在线JKS合成工具,将制作CSR时候的server.key文件和刚刚收到的server.cer输入2个文本框,然后合成一个ssl.jks文件。
|
如果是用keytool做的CSR文件,则需要用keytool将证书导入原来的jks文件。
|
1、请使用P7B在线转换工具将server.cer转换为P7B文件,server.p7b文件。如果不执行该转换,会造成中间证书缺失,会对某些浏览器造成不兼容。
|
2、确保服务器上有 Keytool工具,另外将server.p7b,和原来生成CSR的JKS(Java Keystore文件)在一个目录下,运行命令:
|
keytool -import -keystore server.jks -alias tomcat -file server.p7b
|
3、将合成好的JKS文件导入到服务器上
|
4、如果没有APR的Tomcat,按下面例子更新Server.xml文件配置
|
<-- Define a SSL Coyote HTTP/1.1 Connector on port 443 -->
<Connector
port="8443" minProcessors="5" maxProcessors="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" debug="0" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="server.jks" keystorePass="changeit"/>
|
注意:不同tomcat版本,修改server.xml的方式不同,请参考Tomcat说明:
|
Tomcat 6.0 http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html
|
Tomcat 5.5 http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
|
Tomcat 5.0 http://tomcat.apache.org/tomcat-5.0-doc/ssl-howto.html
|
Tomcat 4.1 http://tomcat.apache.org/tomcat-4.1-doc/ssl-howto.html
|
5、配置了APR的Tomcat,需要使用server.key和server.cer文件,并按mod_ssl的语法来更新Server.xml文件配置
|
<-- Define a APR SSL Coyote HTTP/1.1 Connector on port 443 -->
<Connector protocol="org.apache.coyote.http11.Http11AprProtocol"
port="443" minSpareThreads="5" maxSpareThreads="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
SSLCertificateFile="server.cer"
SSLCertificateKeyFile="server.key"
SSLVerifyClient="none" sslProtocol="TLS"/>
|
客户端证书认证
|
没有APR模块的Tomcat,如果需要采用客户证书认证(双向SSL认证),需要在server.xml中增加以下配置:
|
clientAuth="true"
truststoreFile="ca.jks"
truststorePass="changeit"
|
使用APR模块的Tomcat,需要用mod_ssl的语法来配置客户证书认证,增加以下配置:
|
SSLVerifyClient="require"
SSLCACertificateFile="ca.cer"
|