Tomcat8.5/Tomcat9的证书部署
一、获取jks格式证书
l 通过mpki下的订单
查看订单后,操作:证书下载
输入订单密码(下订单时候设置的),新设置一个证书密码(之后会用到),选择JKS格式
确定提交后,将下载到一个jks文件,此jks文件的密码就是刚才设置的证书密码。
l 非mpki,单独生成私钥key文件的
1、获取生成jks文件的需要的文件。这里需要2个文件,1个是私钥文件(此文件是和下订单提交的csr文件一并生成的,文件名里一般保存带有key,用记事本或者vi打开后,开头内容是-----BEGIN RSA PRIVATE KEY-----),可以咨询下提交订单的同事,这个文件没有的话,是无法部署的。另一个文件是证书文件,从证书邮件里,复制第一段(邮件里可能有好几段证书代码,这里第一段指的是您的SSL证书),-----BEGIN CERTIFICATE-----到-----END CERTIFICATE----,保存为server.crt.
这样,就获得了2个文件。
证书文件server.crt
私钥文件key.txt (任何后缀都可以)
2、用第一步里的2个文件到这里生成一个jks文件
https://www.trustasia.com/tools/cert-converter.htm
所填项如下:
源格式 pem
目标格式 jks
证书文件 选择第一步里的server.crt
私钥文件 选择第一步里的 key.txt
Pem私钥密码 不填
密钥库密码和确认密码 自己设置一个,不加特殊符号,一会配置文件里用到(如server.xml)
提交后就能或者一个你们域名的jks文件
二、到tomcat中部署证书
把jks文件存放到conf目录下,然后配置同目录下的server.xml文件,第一次配置的话,有段被注释掉的connector,使用的是NIO来做JSSE引擎的,修改为
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="conf/www.trustasia.com.jks"
certificateKeystorePassword="刚才设置的证书密码"
certificateKeyAlias="www.trustasia.com"
type="RSA" />
</SSLHostConfig>
</Connector>
注:certificateKeystorePassword和certificateKeyAlias 需要添加进去。
certificateKeystorePassword为jks密码
certificateKeyAlias为jks别名,没有特殊情况的别名就是申请的证书域名,比如申请了_.trustasia.com.jks的通配符证书,别名为*.trustasia.com; www.trustasia.com.jks的别名就是www.trustasia.com
别名查看方式,jdk工具里:keytool –list –keystore jks文件 –storepass jks文件密码。这样就可以显示出条目列表。