证书安装

1.下载好证书文件，以如下命名举例：

文件名称：22.cn.jks

2. 把证书文件和私钥复制到Tomcat 配置文件目录 /usr/Tomcat-9.0.56/conf

3. 编辑在 /usr/Tomcat-9.0.56/conf 目录下的 server.xml 文件。

添加如下内容：

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"

  maxThreads="150" scheme="https" secure="true"

#证书保存的路径

  keystoreFile="Tomcat 安装目录/conf/22.cn.jks"

 #密钥库密码

  keystorePass="******"

  clientAuth="false"/>

配置文件的主要参数说明如下：

keystoreFile：密钥库文件的存放位置，可以指定绝对路径，也可以指定相对于 <CATALINA_HOME> （Tomcat 安装目录）环境变量的相对路径。如果此项没有设定，默认情况下，Tomcat 将从当前操作系统用户的用户目录下读取名为 “.keystore” 的文件。

keystorePass：密钥库密码，指定 keystore 的密码。申请证书时若设置了私钥密码，请填写私钥密码；若申请证书时未设置私钥密码，请填写 Tomcat 文件夹中 keystorePass.txt 文件的密码。

clientAuth：如果设为 true，表示 Tomcat 要求所有的 SSL 客户出示安全证书，对 SSL 客户进行身份验证。

详细 server.xml 文件请参考如下内容：

请勿直接复制，以免出错。

<?xml version="1.0" encoding="UTF-8"?>

 <Server port="8005" shutdown="SHUTDOWN">

    <Listener className="org.apache.catalina.startup.VersionLoggerListener" />

    <Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />

    <Listener className="org.apache.catalina.core.JreMemoryLeakPreventionListener" />

    <Listener className="org.apache.catalina.mbeans.GlobalResourcesLifecycleListener" />

    <Listener className="org.apache.catalina.core.ThreadLocalLeakPreventionListener" />

 <GlobalNamingResources>

    <Resource name="UserDatabase" auth="Container"

              type="org.apache.catalina.UserDatabase"

              description="User database that can be ting for SSL -->

 <auth-method>CLIENT-CERT</auth-method>

 <realm-name>Client Cert Users-only Area</realm-name>

</login-config>

<security-constraint>

<!-- Authorization setting for SSL -->

<web-resource-collection>

   <web-resource-name>SSL</web-resource-name>

   <url-pattern>/*</url-pattern>

</web-resource-collection>

<user-data-constraint>

   <transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

</security-constraint>

3. 编辑 Tomcat 安装目录 conf 目录下（例如：/usr/Tomcat-9.0.56/conf）的 server.xml 文件，将 redirectPort 参数修改为 SSL 的 connector 的端口，即443端口。如下所示：

<Connector port="80" protocol="HTTP/1.1"

  connectionTimeout="20000"

  redirectPort="443" />

此修改操作可将非 SSL 的 connector 跳转到 SSL 的 connector 中。

4. 在 Tomcat 安装目录 /bin 目录下（例如：/usr/Tomcat-9.0.56/bin）执行以下命令，关闭 Tomcat 服务。

./shutdown.sh

5. 执行以下命令，确认配置是否存在问题。

./configtest.sh

若存在，请您重新配置或者根据提示修改存在问题。

若不存在，请执行下一步。

6. 执行以下命令，启动 Tomcat 服务，即可使用 https://22.cn 进行访问。

./startup.sh