这里我们介绍在TOMCAT 安装PFX格式的SSL证书 到服务器上,这种安装方式相对简单一些,适合各种版本的 Tomcat,如果你的证书格式是PEM格式的,要先转换为PFX格式的后才能安装
可以使用我们的在线证书格式转换工具 SSL证书PEM转PFX格式
或者 使用如下OPENSSL命令
openssl pkcs12 -export -out certificate.pfx -inkey server.key -in server.crt -certfile ca.crt
其中 server.crt 是CA颁发的服务器证书,server.key 是私钥(Key),ca.crt是中级证书 , certificate.pfx 是转换后得到的证书,
有了certificate.pfx 这个证书后,下面就可以开始安装了,找到安装 Tomcat 目录下该文件server.xml , 默认是在Tomcat安装目录下的 conf 文件夹中。找到 <Connector port="8443" 标签,增加如下属性
keystoreFile="certificate.pfx"
keystoreType="PKCS12"
keystorePass="certificate.pfx证书的密码"
其中/path/cert.pfx替换成你的证书所在位置,keystorePass是pfx格式证书的密码。
修改后:
<Connector port="8443" protocol="HTTP/1.1"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
keystoreFile="/path/certificate.pfx"
keystoreType="PKCS12"
keystorePass="certificate.pfx证书的密码"
clientAuth="false"
sslProtocol="TLS"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,
TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_256_GCM_SHA384,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_256_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_256_CBC_SHA,
SSL_RSA_WITH_3DES_EDE_CBC_SHA" />
修改完成,重启tomcat 就可以了。