Tomcat SSL证书配置

一 .PFX格式

从Tomcat7开始也支持PFX格式证书，PFX格式只适用tomcat7 及其以上的版本

a.找到安装Tomcat目录下该文件server.xml,一般默认路径都是在 conf 文件夹中。找到 <Connection port=”8443” 标签，增加如下属性：

keystoreFile="cert/214002146520484.pfx"
keystoreType="PKCS12"

此处的证书密码，请参考附件中的密码文件

keystorePass="证书密码"

完整的配置如下，其中port属性根据实际情况修改：

<Connector port="443"
protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="ssl/214002146520484.pfx" //证书路径地址
keystoreType="PKCS12"
keystorePass="证书密码" //证书密码
clientAuth="false"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
 TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

二、JKS证书安装

a. 使用java jdk将PFX格式证书转换为JKS格式证书

keytool -importkeystore -srckeystore domains_ssl.pfx -destkeystore domains.jks -srcstoretype PKCS12 -deststoretype JKS

回车后输入JKS证书密码和PFX证书密码，强烈推荐将JKS密码与PFX证书密码相同，否则可能会导致Tomcat启动失败。如下

Enter destination keystore password:
Re-enter new password:
Enter source keystore password:
Entry for alias alias successfully imported.
Import command completed: 1 entries successfully imported, 0 entries failed or cancelled

当然网上也有很多的转化工具，方便我们进行证书格式的转化

b.找到安装 Tomcat 目录下该文件Server.@@@@xml，一般默认路径都是在 conf 文件夹中。找到 <Connection port=”8443” 标签，增加如下属性：

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="conf/www.domain.com.jks" //证书路径地址
keystorePass="密码" //证书密码
clientAuth="false" sslProtocol="TLS" />

完整的配置如下，其中port属性根据实际情况修改：

重启 Tomcat。

通过 https 方式访问您的站点，测试站点证书的安装配置