一、获取SSL证书
1. 获取证书文件
在您完成申请深圳CA服务器证书的流程后,将获取一个由SZCA签发的SSL证书,可到深圳CA证书商城-我的订单下载。登录 -> 我的订单 -> 下载证书,示例如下:
2. 获取私钥证书文件
请找到之前提交csr时生成的.key私钥文件,该文件为证书的私钥,后面配置要用到。
3. 合成证书
成功合成部署文件并下载后,选择使用“tomcat_weblogic_jboss”文件夹下的文件,示例如下:
二、安装服务器证书
1. 配置Tomcat
复制合成的catest.top.jks文件到Tomcat安装目录下的conf目录,使用文本编辑器打开conf目录下的server.xml文件(操作前备份server.xml,以备错误时恢复)找到并修改以下内容
<!-- <Connector port="8443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" /> -->
默认情况下<Connector port=”8443″……/>是被注释的,配置时需把“<!– –>”去掉,然后对其节点进行相应的修改,需区分tomcat版本来修改。
1)Tomcat 5/6版本:(由于该版本漏洞较多,建议立即升级到tomcat7或更高版本)
2)Tomcat 7/8版本:(JDK建议使用1.7_45或以上版本最佳)
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" keystoreFile="conf/catest.top.jks" keystorePass="证书安装密码" clientAuth="false" sslProtocols = "TLS"/>
3)Tomcat8.5/9版本:
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" keystoreFile="conf/catest.top.jks" keystorePass="证书安装密码" clientAuth="false" sslProtocols = "TLS"/>
最后保存该配置文件,然后重启Tomcat后再次访问即可。
默认的SSL访问端口号为443,如果使用其他端口号,则您需要使https://www.trustauth.cn:port的方式来访问您的站点,防火墙要开放相应的端口。
3. 访问测试
服务器若部署了SSL证书,浏览器访问时将出现安全锁标志,如下图:
三、服务器证书的备份及恢复
在您成功的安装和配置了服务器证书之后,请务必依据下面的操作流程,备份好您的服务器证书,以防证书丢失给您带来不便。
1. 服务器证书的备份
备份服务器证书密钥库文件catest.top.jks文件即可完成服务器证书的备份操作。
2. 服务器证书的恢复
请参照服务器证书安装部分,将服务器证书密钥库catest.top.jks文件恢复到您的服务器上,并修改配置文件,恢复服务器证书的应用。
若服务器证书丢失,可到深圳CA证书商城-我的订单重签证书。登录 -> 我的订单 -> 重签证书,示例如下: