服务器证书安装配置指南（Tomcat ）

一、生成证书请求

生成keystore文件

生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK下的bin目录，运行keytool命令。

keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore server.jks -storepass password

制作CSR文件

Keytool -certreq -alias server -sigalg SHA256withRSA -file certreq.csr -keystore server.jks -keypass

password -storepass password

*使用工具创建csr文件之后，将生成的server.csr文件发送给我们，等待证书的签发。请同时备份server.jks文

件并稍后上传到服务器上进行配置。

*在您收到证书签发邮件之前，请不要删除server.jks文件，以避免私钥丢失而导致证书无法安装。

二、导入服务器证书

1.获取服务器证书中级CA证书

为保障服务器证书在的兼容性，服务器证书需要安装两张中级CA证书。

从邮件中获取中级CA证书：

将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容（包括“-----BEGIN CERTIFICATE-----”

和“-----END CERTIFICATE-----”）分别粘贴到记事本等文本编辑器中，并修改文件扩展名，保存为inter

mediate1.cer和intermediate2.cer文件。

2.获取服务器证书

将证书签发邮件中的从BEGIN到 END结束的服务器证书内容（包括“-----BEGIN CERTIFICATE-----”和

“-----END CERTIFICATE-----”）粘贴到记事本等文本编辑器中，并修改文件扩展名，保存为server.cer文件

3.导入证书

导入第一张中级CA证书

keytool -import -alias intermediate1 -keystore C:\server.jks -trustcacerts -storepass password

-file C:\intermediate1.cer

导入第二张中级CA证书

keytool -import -alias intermediate2 -keystore C:\server.jks -trustcacerts -storepass password

-file C:\intermediate2.cer

4.导入服务器证书

keytool -import -alias server -keystore C:\server.jks -trustcacerts -storepass password -file

C:\server.cer

JKS默认私钥别名(alias)为server，如自定义别名需在导入证书时将alias别名指定为自定义的名称。

注意，导入证书时，一定要使用生成证书请求文件时生成的server.jks文件。server.jks文件丢失或生

成新的server.jks文件，都将无法正确导入您的服务器证书。

三、  安装服务器证书

1.  配置Tomcat

复制已正确导入认证回复的server.jks文件到Tomcat安装目录下的conf目录。打开conf目录下的server.xml

文件，找到并修改以下内容

<!—

  <Connector protocol="org.apache.coyote.http11.Http11Protocol"

               port="8443" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS" />

    -->

修改为

   <Connector protocol="org.apache.coyote.http11.Http11Protocol"

                   port="443" SSLEnabled="true"

                   maxThreads="150" scheme="https" secure="true"

               keystoreFile="conf\keystore.jks" keystorePass="password"

               clientAuth="false" sslProtocol="TLS"

 ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"  /> 

默认的SSL访问端口号为443，如果使用其他端口号，则您需要使用https://yourdomain:port的方式来访问您的站点。

2.  访问测试

重启Tomcat，访问https://youdomain:port，测试证书的安装。

四、  服务器证书的备份及恢复

在您成功的安装和配置了服务器证书之后，请务必依据下面的操作流程，备份好您的服务器证书，以防证书丢失给您

带来不便。

1.  服务器证书的备份

备份服务器证书密钥库文件server.jks文件即可完成服务器证书的备份操作。

2.  服务器证书的恢复

请参照服务器证书安装部分，将服务器证书密钥库server.jks文件恢复到您的服务器上，并修改配置文件，恢复服务器

证书的应用。