Tomcat服务器https协议配置简介

一、 数字签名证书制作

1、 用jdk自带的keytool工具生成证书；

2、 导出证书；

3、 交给CA签名认证；

注意：制作详细步骤示例参见附录。

二、修改server.xml文件

修改conf/server.xml，添加以下配置

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS" 

               keystoreFile="e:/csp_local/keys/keystoreA"(数字证书库存放位置)

               keystorePass="changeit"/>(数字证书库密码)





附录

数字签名证书制作示例

假定：待生成的证书所代表的域名为sso.digitalchina.com,所在城市为beijing，国家CN，别名tomcat，待生成的证书存放到当前目录下的证书库中，证书库名称keystoreA。

1、 生成待签名证书

keytool –genkey –alias tomcat –keyalg RSA –keystore keystoreA –storepass changeit

执行以上命令，按提示输入：

您的名字与姓氏是什么(提示)：sso.digitalchina.com(输入)

您的组织单位名称是什么(提示)：digitalchina.com(输入)

您的组织名称是什么(提示)：sso(输入)

您所在的城市或区域名称是什么(提示)：beijing(输入)

您所在的州或省份名称是什么(提示)：beijing(输入)

该单位的两字母国家代码是什么(提示)：CN(输入)

CN=sso.digitalchina.com，OU=digitalchina.com,O=sso,L=beijing,ST=beijing,C=CN 正确吗? [否] (提示)：y(输入)

输入<digitalchina>的主密码(如果和keystore密码相同按回车):回车



经过以上步骤后会在当前目录下生成文件keystoreA。

2、 导出待签名证书

导出到当前目录下的cert目录下

keytool –export –alias tomcat –file cert/tomcat.jks –keystore keystoreA –storepass changeit

执行完以上命令后，会在cert目录下生成证书文件tomcat.jks。

3、 导入待签名证书

需要将证书导入到默认证书库，即$JAVA_HOME/jre/lib/security/cacerts中，假设该证书库默认密码为changeit,则需要执行以下导入命令。

keytool -import -alias tomcat -file cert/tomcat.jks -keystore $JAVA_HOME/jre/lib/security/cacerts  -storepass changeit



执行以上命令即可导入到当前环境的虚拟机中。