在Tomcat服务器上安装SSL证书的步骤

颁发证书后，您可以继续在Tomcat服务器上安装它。

根据从证书颁发机构收到证书的证书格式，有不同的方法将文件导入密钥库。

PKCS＃7（.p7b）

如果您收到的证书为PKCS＃7格式（证书文件的扩展名为.p7b或.cer），则它已包含必需的中间证书和根证书。此外，扩展名为.p7b的证书可以是已下载在用户账户中。运行以下命令以将其导入密钥库：

keytool -import -trustcacerts -alias tomcat -keystore example.jks -file example.p7b

如果证书已成功导入，您将看到消息“ 证书回复已安装在密钥库中”。您可以使用以下命令检查导入到密钥库的证书的详细信息：

keytol -list –密钥库示例。jks –v

PEM（.crt）

如果您收到的是PEM格式的证书（文件扩展名为.crt），则需要将根证书，中间证书和为您的域名颁发的证书分别从根证书开始，并以与您的域名证书。

要导入根证书，请运行以下命令：

keytool -import -alias root -keystore example.jks -trustcacerts -file root.crt

导入中间证书：

keytool-导入-alias中间-keystore example.jks -trustcacerts-文件middle.crt

注意：某些证书具有多个中间证书，并且应将所有证书以正确的顺序导入密钥库中，从根签名的证书开始，再以为证书的最终实体证书签名的中间证书结束域。您需要对不同的中间证书使用不同的别名。例如，对于COMODO（现在是Sectigo）PositiveSSL证书，首先需要导入根证书AddTrustExternalCARoot.crt，然后是中间证书COMODORSAAddTrustCA.crt，最后是COMODORSADomainValidationSecureServerCA.crt

因此，在导入根证书和中间证书之后，请使用以下命令导入为域名发行的证书：

keytool -import -alias tomcat -keystore example.jks -file example.crt

别名应与创建密钥库时指示的别名一致。

成功导入后，您需要编辑Tomcat配置文件。通常，它称为server.xml，通常可以在Home_Directory / conf文件夹中找到。

默认情况下，它应如下所示：

《Connector端口=“ 443”协议=“ HTTP / 1.1”SSLEnabled =“ true”方案=“ https” secure =“ true” clientAuth =“ false”sslProtocol =“ TLS” keystoreFile =” / your_path / yourkeystore.jks”keystorePass =“ password_for_your_key_store” /》

您需要使用指向密钥库文件位置的路径来修改指令keystoreFile，并使用密钥库的密码来修改keystorePass。

如果这是您第一次在Tomcat上配置SSL证书，则首先需要通过删除要取消注释部分的《！–和–》来取消对SSL Connector配置的注释。另外，可能缺少keystoreFile和keystorePass行–您将需要手动输入这些指令。

如果您的密钥库包含多个私钥别名，则需要添加“ keyAlias”指令以及对所需别名地引用。

keyAlias =“ tomcat”保存更改并重新启动Tomcat Web服务。

PKCS＃12（.pfx）

如果您具有PEM格式的密钥，请使用以下命令创建PKCS＃12格式的证书 这个工具 （从PEM到PKCS＃12）。

除此之外，请使用以下命令：

openssl pkcs12-导出-out your_pfx_certificate.pfx -inkey your_private.key -in your_pem_certificate.crt -certfile CA-bundle.crt

要使.pfx或.p12文件在Tomcat上运行而不将其解压缩到新的密钥库中，只需在连接器中为必需的端口指定它，并添加keystoreType =“ PKCS12 ”指令即可。