簡介
前三篇介紹了基於Centos7/Linux環境安裝jdk、Tomcat和Nginx 做負載均衡的實踐,今天我們來學習一下Tomcat安裝SSL數字證書。
版本說明
- jdk :jdk1.8.0_172
- tomcat :apache-tomcat-8.5.30
- nginx :nginx-1.13.11 (版本相對來說不是很老哈~~~)
- SSL證書:本文案例使用的阿里雲的服務證書
第一步:SSL證書服務購買:
實驗用途,選擇免費版本,如果是線上對安全性要求比較高的建議選擇專業版、高級版、增強型的SSL證書。我們使用免費版的可以~~~
第二步:SSL證書申請:
需要提前準備好申請證書的信息,例如:域名、所在地、驗證方式等。如下圖所示:
備註:使用 系統生成CSR 方式,系統將自動幫您生成證書私鑰,並且在證書申請成功後可直接在證書管理列表中下載證書和私鑰。
也可以自己生成 CSR(Certificate Signing Request)證書請求文件,並上傳CSR,在證書申請成功後可直接在證書管理列表中下載您的證書。
這裡建議系統生成方式就可以了,不用那麼麻煩!
接下來就是保存信息了,等待阿里雲證書審批完成(正常在1個小時內就可以通過),狀態會變成已簽發。
第三步:下載所需證書:
下載SSL證書,需要根據應用服務器類型,因為我的環境是Tomcat,所以我選擇選下載Tomcat(按需選擇)
第四步:安裝證書:
解壓下載的SSL數字證書壓縮包,如下圖所示共兩個文件,一個是我們將要用到的pfx證書,一個是證書的密碼.txt:
將pfx文件放到tomcat/conf/目錄下(這裡為了好區分我們再conf目錄下創建cret文件夾,用於存放證書),如下圖所示:
修改Tomcat的配置文件server.xml
這個步驟相當重要,記得備份一下server.xml文件,養成配置文件修改前備份的好習慣吧!
添加證書配置
<connector> clientAuth="false" sslProtocol="TLS" keystoreType="PKCS12" keystoreFile="conf/cret/hy.hongseliba.cn.pfx" keystorePass="1nNjsK49" />
/<connector>
- 配置端口(默認8080)的redirectPort和添加證書的端口保持一致(端口可以根據需求進行變更,我們這裡用9444);
- keystoreFile 證書路徑,剛剛放到tomcat的pix路徑;
- keystorePass 證書密碼,壓縮包裡面有直接copy放這裡就好;
最後保存並重啟tomcat。
第五步:測試:
如果用https訪問依然不行,那需要檢查一下幾點:
1、檢查防火牆配置的端口是否開放外網可以訪問。
2、檢查端口是否已經被佔用(查看tomcat/logs/catalina.out 日誌文件排查)。
3、keystoreFile和keystorePass 配置是否正確,密碼copy就可以,特別注意證書路徑。
如大家有什麼問題或者安裝過程中有什麼難點可以留言哦~~~
貢獻者
- IT實戰聯盟-Line
閱讀更多 IT實戰聯盟 的文章
