tomcat8.5以上版本的证书部署

Jessica Zhang -

Tomcat8.5/Tomcat9的证书部署

一、获取jks格式证书

l  通过mpki下的订单

  •      登录https://mpki.trustasia.com

  •       查看订单后,操作:证书下载

  •       输入订单密码(下订单时候设置的),新设置一个证书密码(之后会用到),选择JKS格式

  •       确定提交后,将下载到一个jks文件,此jks文件的密码就是刚才设置的证书密码。

l  mpki,单独生成私钥key文件的

1、获取生成jks文件的需要的文件。这里需要2个文件,1个是私钥文件(此文件是和下订单提交的csr文件一并生成的,文件名里一般保存带有key,用记事本或者vi打开后,开头内容是-----BEGIN RSA PRIVATE KEY-----,可以咨询下提交订单的同事,这个文件没有的话,是无法部署的。另一个文件是证书文件,从证书邮件里,复制第一段(邮件里可能有好几段证书代码,这里第一段指的是您的SSL证书),-----BEGIN CERTIFICATE----------END CERTIFICATE----,保存为server.crt.

 这样,就获得了2个文件。

  • 证书文件server.crt

  • 私钥文件key.txt  (任何后缀都可以)

2、用第一步里的2个文件到这里生成一个jks文件

  • https://www.trustasia.com/tools/cert-converter.htm

  • 所填项如下:

  • 源格式 pem

  • 目标格式 jks

  • 证书文件 选择第一步里的server.crt

  • 私钥文件 选择第一步里的 key.txt

  • Pem私钥密码  不填

  • 密钥库密码和确认密码 自己设置一个,不加特殊符号,一会配置文件里用到(server.xml)

  • 提交后就能或者一个你们域名的jks文件

二、到tomcat中部署证书

      把jks文件存放到conf目录下,然后配置同目录下的server.xml文件,第一次配置的话,有段被注释掉的connector,使用的是NIO来做JSSE引擎的,修改为

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

               maxThreads="150" SSLEnabled="true">

        <SSLHostConfig>

            <Certificate certificateKeystoreFile="conf/www.trustasia.com.jks"

              certificateKeystorePassword="刚才设置的证书密码"

              certificateKeyAlias="www.trustasia.com"

                         type="RSA" />

        </SSLHostConfig>

    </Connector>

 

注:certificateKeystorePasswordcertificateKeyAlias 需要添加进去。

       certificateKeystorePasswordjks密码

       certificateKeyAliasjks别名,没有特殊情况的别名就是申请的证书域名,比如申请了_.trustasia.com.jks的通配符证书,别名为*.trustasia.com; www.trustasia.com.jks的别名就是www.trustasia.com

      别名查看方式,jdk工具里:keytool –list –keystore jks文件 –storepass jks文件密码。这样就可以显示出条目列表。