Tomcat SSL证书安装指南

一、获取SSL证书

1.  获取证书文件

在您完成申请数安时代GDCA服务器证书的流程后，将获取一个证书包，解压使用Apache_IIS_Tomcat_Server目录下的两个证书文件，示例如下：

2.  获取私钥证书文件

请找到之前提交csr时生成的.key私钥文件，该文件为证书的私钥，后面配置要用到；

3.  合成证书

1)用浏览器打开以下链接: https://www.trustauth.cn/SSLTool/tool/export_keystore.jsp

2)用记事本或者文本编辑器分别打开上面的证书公钥www.trustauth.cn.crt、私钥文件www.trustauth.cn.key、中级证书issuer.crt，并分别复制打开的文件内容，根据下图依次粘贴填入合成证书的信息内容，导出后会下载一个www.trustauth.cn.jks（示例）的文件，保存好这个文件并牢记密码。

  注：Keystore密码个人自定义设置，六位以上。

二、安装服务器证书

1.  配置Tomcat

复制已正确合成的www.trustauth.cn.jks文件到Tomcat安装目录下的conf目录，使用文本编辑器打开conf目录下的server.xml文件（操作前备份server.xml，以备错误时恢复）找到并修改以下内容

<!--      
<Connector port="8443" protocol="HTTP/1.1"               
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"    
clientAuth="false" sslProtocol="TLS" />    
-->

默认情况下<Connector port=”8443″……/>是被注释的，配置时需把“<!– –>”去掉，然后对其节点进行相应的修改，需区分tomcat版本来修改。

1)Tomcat 5/6版本:（由于该版本漏洞较多，建议立即升级到tomcat7或更高版本）

2)Tomcat 7/8版本：(JDK建议使用1.7_45或以上版本最佳)

<Connector port="443" protocol="HTTP/1.1"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="keystore/www.trustauth.cn.jks"  keystorePass="证书密码"
               clientAuth="false" sslProtocols = "TLS"/>

3)Tomcat8.5/9版本：

<Connector port="443" protocol="org.apache.coyote.http11.Http11Nio2Protocol" maxThreads="150" SSLEnabled="true" >

     <SSLHostConfig >

  <Certificate certificateKeystoreFile="conf/www.trustauth.cn.jks" certificateKeystorePassword="密码" type="RSA" />

     </SSLHostConfig>

</Connector>

最后保存该配置文件，然后重启Tomcat后再次访问即可。

默认的SSL访问端口号为443，如果使用其他端口号，则您需要使https://www.trustauth.cn:port的方式来访问您的站点，防火墙要开放相应的端口。

       2.  访问测试

服务器若部署了SSL证书，可以使用https访问，浏览器访问时将出现安全锁标志。

三、服务器证书的备份及恢复

在您成功的安装和配置了服务器证书之后，请务必依据下面的操作流程，备份好您的服务器证书，以防证书丢失给您带来不便。

       1.  服务器证书的备份

备份服务器证书密钥库文件www.trustauth.cn.jks文件即可完成服务器证书的备份操作。

       2.  服务器证书的恢复

请参照服务器证书安装部分，将服务器证书密钥库www.trustauth.cn.jks文件恢复到您的服务器上，并修改配置文件，恢复服务器证书的应用。若服务器证书丢失，请联系GDCA重新签发。