服务器证书安装配置指南(Tomcat )



一、   制作服务器证书
 
1,首先准备好server.key私钥文件。如您手上没有私钥.key文件,可以联系生成CSR文件人员或联系天威诚信商务人员咨询。 
2,将证书签发邮件中的从-----BEGIN到 END-----结束的服务器证书所有内容粘贴到记事本等文本编辑器中。 


在服务器证书代码文本结尾,回车换行不留空行,并分别粘贴所有中级CA证书代码从-----BEGIN到 END-----结束,每串证书代码之间均需要使用回车换行不留空行,修改文件扩展名,保存包含多段证书代码的文本文件为server.pem文件。 
3,使用天威诚信CIM工具 下载地址: https://cim.itrus.cn

点击工具箱,点击证书格式转换,源文件选择pem,目标文件选择jks,在源证书文件中录入server.pem,源私钥文件中录入server.key文件。(源私钥密码处为空)
4,在“目标证书别名”中设置私钥别名为默认的“tomcat”,并在“目标证书密码”中自定义设置JKS文件密码。

5,点击证书格式转换后,点击保存JKS文件即可下载转换后的文件,重命名为server.jks。
 
二、  安装服务器证书
1.  配置Tomcat
复制已正确导入认证回复的server.jks文件到Tomcat安装目录下的conf目录。打开conf目录下的server.xml文件,找到并修改以下内容

             

<!—
  <Connector protocol="org.apache.coyote.http11.Http11Protocol"
               port="8443" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />
    -->


修改为
             

   <Connector protocol="org.apache.coyote.http11.Http11Protocol"
                   port="443" SSLEnabled="true"
                   maxThreads="150" scheme="https" secure="true"
               keystoreFile="conf\keystore.jks" keystorePass="password"
               clientAuth="false" sslProtocol="TLS"
 ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"  /> 




默认的SSL访问端口号为443,如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的站点。




2.  访问测试
重启Tomcat,访问https://youdomain:port,测试证书的安装。
三、  服务器证书的备份及恢复
在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。
1.  服务器证书的备份
备份服务器证书密钥库文件server.jks文件即可完成服务器证书的备份操作。
2.  服务器证书的恢复
请参照服务器证书安装部分,将服务器证书密钥库server.jks文件恢复到您的服务器上,并修改配置文件,恢复服务器证书的应用。