在Tomcat服務器上安裝SSL證書的步驟

頒發證書后，您可以繼續在Tomcat服務器上安裝它。

根據從證書頒發機構收到證書的證書格式，有不同的方法將文件導入密鑰庫。

PKCS＃7（.p7b）

如果您收到的證書為PKCS＃7格式（證書文件的擴展名為.p7b或.cer），則它已包含必需的中間證書和根證書。此外，擴展名為.p7b的證書可以是已下載在用戶賬戶中。運行以下命令以將其導入密鑰庫：

keytool -import -trustcacerts -alias tomcat -keystore example.jks -file example.p7b

如果證書已成功導入，您將看到消息“ 證書回復已安裝在密鑰庫中”。您可以使用以下命令檢查導入到密鑰庫的證書的詳細信息：

keytol -list –密鑰庫示例。jks –v

PEM（.crt）

如果您收到的是PEM格式的證書（文件擴展名為.crt），則需要將根證書，中間證書和為您的域名頒發的證書分別從根證書開始，并以與您的域名證書。

要導入根證書，請運行以下命令：

keytool -import -alias root -keystore example.jks -trustcacerts -file root.crt

導入中間證書：

keytool-導入-alias中間-keystore example.jks -trustcacerts-文件middle.crt

注意：某些證書具有多個中間證書，并且應將所有證書以正確的順序導入密鑰庫中，從根簽名的證書開始，再以為證書的最終實體證書簽名的中間證書結束域。您需要對不同的中間證書使用不同的別名。例如，對于COMODO（現在是Sectigo）PositiveSSL證書，首先需要導入根證書AddTrustExternalCARoot.crt，然后是中間證書COMODORSAAddTrustCA.crt，最后是COMODORSADomainValidationSecureServerCA.crt

因此，在導入根證書和中間證書之后，請使用以下命令導入為域名發行的證書：

keytool -import -alias tomcat -keystore example.jks -file example.crt

別名應與創建密鑰庫時指示的別名一致。

成功導入后，您需要編輯Tomcat配置文件。通常，它稱為server.xml，通?？梢栽贖ome_Directory / conf文件夾中找到。

默認情況下，它應如下所示：

《Connector端口=“ 443”協議=“ HTTP / 1.1”SSLEnabled =“ true”方案=“ https” secure =“ true” clientAuth =“ false”sslProtocol =“ TLS” keystoreFile =” / your_path / yourkeystore.jks”keystorePass =“ password_for_your_key_store” /》

您需要使用指向密鑰庫文件位置的路徑來修改指令keystoreFile，并使用密鑰庫的密碼來修改keystorePass。

如果這是您第一次在Tomcat上配置SSL證書，則首先需要通過刪除要取消注釋部分的《！–和–》來取消對SSL Connector配置的注釋。另外，可能缺少keystoreFile和keystorePass行–您將需要手動輸入這些指令。

如果您的密鑰庫包含多個私鑰別名，則需要添加“ keyAlias”指令以及對所需別名地引用。

keyAlias =“ tomcat”保存更改并重新啟動Tomcat Web服務。

PKCS＃12（.pfx）

如果您具有PEM格式的密鑰，請使用以下命令創建PKCS＃12格式的證書 這個工具 （從PEM到PKCS＃12）。

除此之外，請使用以下命令：

openssl pkcs12-導出-out your_pfx_certificate.pfx -inkey your_private.key -in your_pem_certificate.crt -certfile CA-bundle.crt

要使.pfx或.p12文件在Tomcat上運行而不將其解壓縮到新的密鑰庫中，只需在連接器中為必需的端口指定它，并添加keystoreType =“ PKCS12 ”指令即可。