Tomcat怎么配置ssl证书？

一、先使用JDK自带的加密工具生成一对密钥文件

进入JDK的bin目录下，打开命令行工具，输入代码如下:

keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "f: omcat.keystore" 

这样就会生成一对密钥文件。

二、通过tomcat的连接器将密钥文件连接到tomcat中。

在tomcat的安装根目录下新建文件夹ssl，将密钥文件复制到该文件夹中，打开conf文件夹下的server.xml文件，将找到下面的一段注释掉的内容：

keystoreFile：密钥文件路径

keystorePass：创建密钥文件时输入的密码

配置完成。

Tomcat支持pfx(p12)格式部署和keystore (jks)方式部署SSL证书，本文主要为大家介绍Tomcat配置SSL证书教程。

1、PFX/P12格式证书部署

直接将带有私钥的pfx/p12证书放置在服务器指定路径，如下列代码中的/usr/local/ssl/server.pfx。（根据个人证书存放的位置）

Tomcat中的server.xml配置代码如下：


keystoreFile="/usr/local/ssl/server.pfx"

keystoreType="PKCS12"

keystorePass="mypassword"

clientAuth="false"

sslProtocol="TLSv1+TLSv1.1+TLSv1.2" />

报错分析：

如果部署jar包时出现报错信息：Alias name [tomcat] does not identify a key entry at org.apache.tomcat.util.net.AbstratJsseEndpoint.createSSLContent 则务必检查使用keystore存储证书还是使用服务器绝对路径证书

2、Keystore密钥库部署

使用JDK自带的keytool工具进行证书导入x.509格式证书，命令行工具进入JDK的keytool目录，执行下述命令：

keytool -import -alias server -trustcacerts

-file server.crt -trustcacerts

-keystore %JAVA_HOME%/jre/lib/security/cacerts

-storepass changeit

%JAVA_HOME% 是指操作系统中的环境变量JAVA的环境目录，storepass指输入密码，java中cacerts证书库默认密码为changeit

将导入的jks证书复制服务器指定目录下：


keystoreFile="/jks证书路径/名称.jks"

keystorePass="证书密码"

clientAuth="false"

slProtocol="TLSv1+TLSv1.1+TLSv1.2" />

注意事项：

1）2018年6月30日起PCI DSS安全标准要求移除TLS1.0

2）-alias server的 server名称是制作CSR时生成的私钥文件名。

3）如果报错“java.lang.Exception: Input not an X.509 certificate”，请检查证书是否为x.509标准的证书（不含私钥、和中级证书）

Gworg获得Tomcat证书与密码，根据以下教程安装。

解释原因：

1. 进入Tomcat安装目录,  d:/apache-tomcat-8.0.18, 把下载的jks文件放在tomcat安装目录即可。d:/apache-tomcat-8.0.18/gworg.com.jks

2. 打开tomcat配置文件 conf/server.xml

tomcat默认一般是8080端口或者 80端口，先找到这一段。

connectionTimeout="20000"

redirectPort="8443" />

3.在这段下面插入下面配置：

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="gworg.com.jks" keystorePass="123456" />

• keystoreFile=”gworg.com.jks”            【 jks 文件名需要修改】

• keystorePass=”123456″                 【jks密码】

注意事项：

• 防火墙要允许443端口

• 使用CDN，需要让CDN服务商安装SSL

• Tomcat 6.0上面配置如果无法启动，把protocol修改为 protocol=”HTTP/1.1″

• windows平台运行tomcat ， bin目录下必须有tcnative-1.dll

1、找到tomcat文件下的conf 目录，打开server.xml文件，在节点下添加
2、这时候，重启服务器，其实已经就可以正常访问了，但是在我们输入域名的时候，默认是使用http协议，而我们配置好的是https协议，显然，我们希望实现的是输入域名默认选择https协议，而不是默认http协议。
我们需要修改几个地方：
在server.xml文件中，找到另外的节点，下图redirectPort默认跳转至第一点中设置的端口443