在Tomcat服务器上安装PFX格式证书的详细操作步骤

阿里云 SSL 证书服务支持下载证书并安装在 Tomcat 服务器上。Tomcat 支持 PFX 格式和 JKS 格式的证书。您可以根据自己的 Tomcat 版本选择其中一种证书安装在 Tomcat 上。本文档介绍了安装 PFX 格式证书的具体步骤。

前提条件

1、端口 443（HTTPS 服务的默认端口）已在您的 Tomcat 服务器上打开。

2、OpenSSL 工具已安装。

3、Tomcat服务器所需的证书文件已下载。

阐明

如果在申请证书时不选择系统自动创建CSR，则.txt文件不会包含在证书下载包中。您需要选择其他类型的服务器来下载 .crt 证书并使用 openssl 命令生成 pfx 文件。

如果您拥有其他证书，可以使用 openssl 命令将自己的证书文件转换为相应格式的文件，并安装在 Tomcat 服务器上。

4、登录到您的 Tomcat 服务器。

背景资料

1、本教程以Tomcat 7 为例。

2、Tomcat 9 强制将证书别名设置为 tomcat。您需要使用以下 keytool 命令将 protocol="HTTP/1.1" 转换为 protocol="org.apache.coyote.http11.Http11NioProtocol"。

　keytool -changealias -keystore domain name.pfx -alias alias -destalias tomcat

3、本文档中的证书名称以域名为例。例如，证书文件名为域名.pfx，证书密码文件名为pfx-password.txt。

脚步

1、将下载并保存的Tomcat证书文件解压到本地。

解压后你会看到文件夹中有2个文件，你可以重命名这两个证书文件。

证书文件（域名.pfx）：后缀或文件类型为.pfx。

密码文件（pfx-password.txt）：后缀或文件类型为.txt。

注意每次下载证书都会生成一个新的密码，密码只和本次下载的证书匹配。如果需要更新证书文件，还要更新匹配的密码。

2、在Tomcat安装目录下新建一个cert目录，将解压后的证书和密码文件复制到cert目录下。

3、修改配置文件server.xml并保存。

文件路径：Tomcat安装目录/conf/server.xml

1）取消注释以下内容：

　<Connector  port="8443"
　protocol="HTTP/1.1"
　port="8443" SSLEnabled="true"
　maxThreads="150" scheme="https" secure="true"
　clientAuth="false" sslProtocol="TLS" />

2）参考以下内容修改

　<Connector port="443"   #port属性根据实际情况修改（https默认端口为443）。如果使用其他端口号，则您需要使用https://yourdomain:port的方式来访问您的网站。
　protocol="HTTP/1.1"
　SSLEnabled="true"
　scheme="https"
　secure="true"
　keystoreFile="Tomcat安装目录/cert/domain name.pfx" #证书名称前需加上证书的绝对路径，请使用您证书的文件名替换domain name。
　keystoreType="PKCS12"
　keystorePass="证书密码"  #请替换为密码文件pfx-password.txt中的内容。
　clientAuth="false"
　SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
　ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

4、可选：配置 web.xml 文件以启用 HTTP 强制重定向到 HTTPS。

在文件</welcome-file-list>后添加以下内容：

　<login-config>
　<!-- Authorization setting for SSL -->
　<auth-method>CLIENT-CERT</auth-method>
　<realm-name>Client Cert Users-only Area</realm-name>
　</login-config>
　<security-constraint>
　<!-- Authorization setting for SSL -->
　<web-resource-collection >
　<web-resource-name >SSL</web-resource-name>
　<url-pattern>/*</url-pattern>
　</web-resource-collection>
　<user-data-constraint>
　<transport-guarantee>CONFIDENTIAL</transport-guarantee>
　</user-data-constraint>
　</security-constraint>

5、重新启动 Tomcat。

执行以下命令关闭 Tomcat 服务器。

　./shutdown.sh

运行以下命令以启动 Tomcat 服务器。

　./startup.sh

跟进

证书安装完成后，您可以通过登录证书绑定的域名来验证证书是否安装成功。

　https://domain name.com   #domain name替换成证书绑定的域名。

如果网页地址栏出现绿色小锁，则证书安装成功。

在验证证书是否安装成功时，如果无法通过https正常访问网站，则需要确认安装证书的服务器的443端口是否被其他工具打开或阻塞。

这几篇文章你可能也喜欢：

• 在Tomcat服务器上安装JKS格式证书的详细操作步骤
• 如何在阿里云服务器Ubuntu系统和Apache2中安装阿里云SSL证书
• 阿里云已签发SSL证书如何部署到阿里云产品？部署的详细步骤
• 阿里云如何吊销 SSL 证书？阿里云吊销SSL证书操作步骤
• 阿里云SSL免费申请攻略（最新）让你不再担心数据被泄漏

本文由主机参考刊发，转载请注明：在Tomcat服务器上安装PFX格式证书的详细操作步骤 https://zhujicankao.com/68529.html