Tomcat SSL證書安裝指南

一、獲取SSL證書

1、獲取證書文件

在您完成申請數安時代GDCA服務器證書的流程后，登錄系統將會下載一個壓縮文件,使用Apache_IIS_Tomcat_Server里面的文件;

2、獲取私鑰證書文件

請找到之前提交csr時生成的.key私鑰文件，該文件為證書的私鑰，后面配置要用到；

3、合成證書

1）用瀏覽器打開以下鏈接: https://www.trustauth.cn/SSLTool/tool/export_keystore.jsp

2）用記事本或者文本編輯器打開上面的證書公鑰、證書私鑰、中級證書文件，根據下圖填入合成證書信息，導出后會下載一個www.domainame.com.jks的文件，保存好這個文件。

二、安裝服務器證書

1、配置Tomcat

復制已正確導入認證回復的youdomain.jks文件到Tomcat安裝目錄下的conf目錄，使用文本編輯器打開conf目錄下的server.xml文件（操作前備份server.xml，以備錯誤時恢復）找到并修改以下內容

<!--     

<Connector port="8443" protocol="HTTP/1.1"               

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"   

clientAuth="false" sslProtocol="TLS" />   

-->

默認情況下<Connector port=”8443″……/>是被注釋的，配置時需把“<!– –>”去掉，然后對其節點進行相應的修改，需區分tomcat版本來修改。

1）Tomcat 5/6版本:（由于該版本漏洞較多，建議立即升級到tomcat7或更高版本）

2）Tomcat 7/8版本(JDK建議使用1.7_45或以上版本最佳)

<Connector port="443" protocol="HTTP/1.1"

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

keystoreFile="keystore/www.youdomain.com.jks"   keystorePass="證書密碼"

clientAuth="false" sslProtocols = "TLS"/>

3) Tomcat8.5/9版本：

<Connector port="443" protocol="org.apache.coyote.http11.Http11Nio2Protocol" maxThreads="150" SSLEnabled="true" >

<SSLHostConfig >

<Certificate certificateKeystoreFile="conf/www.yourdomain.com.jks" certificateKeystorePassword="密碼" type="RSA" />

</SSLHostConfig>

</Connector>

最后保存該配置文件，然后重啟Tomcat后再次訪問即可。

默認的SSL訪問端口號為443，如果使用其他端口號，則您需要使https://yourdomain:port的方式來訪問您的站點，防火墻要開放相應的port。

2、訪問測試

服務器若部署了睿信SSL證書，瀏覽器訪問時將出現安全鎖標志；若部署了恒信企業EV SSL證書，瀏覽器除了顯示安全鎖標志，地址欄會變成綠色；

三、服務器證書的備份及恢復

在您成功的安裝和配置了服務器證書之后，請務必依據下面的操作流程，備份好您的服務器證書，以防證書丟失給您帶來不便。

1、服務器證書的備份

備份服務器證書密鑰庫文件gdca.jks文件即可完成服務器證書的備份操作。

2、服務器證書的恢復

請參照服務器證書安裝部分，將服務器證書密鑰庫gdca.jks文件恢復到您的服務器上，并修改配置文件，恢復服務器證書的應用。若服務器證書丟失，請聯系GDCA重新簽發。