欢迎您,请 登录   |   马上注册
关于我们021-52582199 在线咨询 >
台湾  |  香港  |  老版本网站入口GeoTrust官方授权中国区合作伙伴
服务与支持 > 如何安装SSL证书 > Tomcat SSL证书安装

Tomcat SSL证书安装

2016年09月01日

接收证书

您会收到一封来自迅通诚信的邮件,证书内容附在邮件中,请在邮件的最后,找到以:“-----BEGIN CERTIFICATE-----”开头的一段文本,请将此部分的内容复制出来用Notepad存成一个纯文本文件。(注意:不要将其存成Microsoft Word 或其它字处理软件格式,并确定证书内容中不含有空行和空格,)文件名可以为server.crt 或者 server.cer (crt和cer都是证书的可用扩展名是等效的)。如下所示: 

 接受证书

制作JKS文件

JKS(Java Keystore)文件是Tomcat用来管理和使用SSL证书的文件格式,我们首先需要完成JKS文件,包括将收到的证书,和下载好的中间证书,导入回原来的JKS文件(如果是用在线工具做CSR的,则必用在在线JKS工具转换)。

使用在线工具生成的CSR

请将收到的server.crt和server.key文件,到 JKS在线合成工具 合成一个新的JKS文件。在这里需要设置2个参数:
  • 别名:导入到JKS中的密钥对的索引名称(que)。
  • 密码:访问JKS的密码,需要在Tomcat配置文件中写入。

Keytool生成的CSR

首先请将保存好的server.crt文件到P7B在线转换工具转为P7B文件,P7B文件会包含证书的中间证书,方便我们直接导入JKS文件。
运行命令:
keytool -import -keystore server.jks -alias ssl -file server.p7b

 Tomcat SSL配置

请将server.jks文件上传到服务器,打开配置文件Server.xml,修改配置如下 (区分字母大小写):
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keystoreFile="d:/jks/server.jks" keystorePass="密码" /> 

关闭过时的加密套件算法

通过配置sslEnabledProtocols和ciphers参数,为Tomcat指定安全的传输层协议和加密算法套件,同时可以避免Chrome和Firefox访问加密网站时提示“服务器的瞬时Diffie-Hellman 公共密钥过弱”错误。

基于Java 1.6,请添加:
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               ……
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA" /> 
  
基于Java 7,请添加:
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               ……
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_3DES_EDE_CBC_SHA" />

基于Java 8,请添加:
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
               ……
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_3DES_EDE_CBC_SHA" />
   如果您还在使用Java 1.6或7.0版本,建议升级到最新的Java 8,以获得最佳安全保护。
为什么选择我们
  • 官方授权
    中国区合作伙伴
  • 证书远程协助
    安装服务
  • 无法安装
    30天退款保障
  • 免费提供
    30天试用证书
Copyright 2005-2017 版权所有 上海迅通科技有限公司
沪公网安备31010502000602号 / 沪ICP备06031562号