1、SSL證書(shū)下載
證書(shū)成功頒發後,登陸www.bchost.cn->業務管理(lǐ)->SSL證書(shū)服務, 查詢->下載證書(shū)。
2、防火(huǒ)牆端口開放(fàng)說(shuō)明
(1) https默認端口爲443。根據實際需求,您可(kě)以選擇其他(tā)端口,Tomcat配置、防火(huǒ)牆等請(qǐng)同步修改。
(2) 如(rú)果您使用的是雲服務器,請(qǐng)登錄雲平台系統,安全組增加TCP-443 端口的入站(zhàn)規則。
(3) 如(rú)果windows防火(huǒ)牆有啓用,增加開放(fàng)TCP-443 端口的入站(zhàn)規則。
3、備份配置文件(jiàn)
進入Tomcat目錄/conf,備份如(rú)下文件(jiàn):web.xml、server.xml。
4、上傳jks證書(shū)到tomcat目錄/conf下
5、配置方式一(Tomcat 5-7推薦):
(1) 本方式,1個端口隻能配置1個證書(shū),同一端口如(rú)要配置多個證書(shū)請(qǐng)您升級Tomcat版本到8+後采用方式二配置。
(2) 支持版本:Tomcat5、Tomcat6、Tomcat7、Tomcat8、Tomcat9,其中
Tomcat5、Tomcat6、Tomcat7隻能用本方式,如(rú)要支持部署多個證書(shū),不同站(zhàn)點必須監聽不同端口;或者升級到Tomcat8+;
Tomcat8、Tomcat9版本可(kě)采用本方式配置,但(dàn)是推薦使用方式二配置;
(3) server.xml配置說(shuō)明:
打開server.xml,找出port="443"的配置段,替換爲如(rú)下配置(以下配置了支持HTTPS的二個端口443、8443):
SSLEnabled="true" maxThreads="300" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="conf/bchost.cn.jks" keystorePass="Yw6F2t5eG4" keyAlias="www.bchost.cn"/>
SSLEnabled="true" maxThreads="300" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="conf/114.com.cn.jks" keystorePass="Yw6F2t5eG4" keyAlias="*.114.com.cn"/>
# 藍色配置項說(shuō)明
port:監聽端口,推薦使用HTTPS的默認端口443。
protocol,協議(yì),請(qǐng)根據您的Tomcat版本設置:
Tomcat5:隻支持Http11Protocol
Tomcat6、Tomcat7:Http11Protocol、Http11NioProtocol 二選一
Tomcat8+:隻支持Http11NioProtocol
keystoreFile:JKS證書(shū)文件(jiàn),請(qǐng)注意路(lù)徑要和實際文件(jiàn)一緻。
keystorePass:JSK證書(shū)密碼,請(qǐng)從(cóng)證書(shū)包的使用說(shuō)明.txt複制。
keyAlias:證書(shū)别名,請(qǐng)設置爲您的證書(shū)域名。如(rú)果是通配符域名證書(shū)需要設置爲*.域名,例如(rú)*.bchost.com。
6、配置方式二(Tomcat8+推薦):
(1) 本方式,同一端口支持部署多個SSL證書(shū)。Tomcat8+版本,推薦本方式部署。
(2) 支持版本:Tomcat8、Tomcat9、Tomcat10、...
(3) 配置段說(shuō)明:
打開server.xml,找出port="443"的配置段,替換爲如(rú)下配置(以下配置了支持HTTPS的二個證書(shū)):
certificateKeystorePassword="Yw6F2t5eG4"
certificateKeyAlias="*.bchost.cn" type="RSA" />
certificateKeystorePassword="Yw6F2t5eG4"
certificateKeyAlias="*.114.com.cn" type="RSA" />
# 藍色配置項說(shuō)明
port:監聽端口,推薦使用HTTPS的默認端口443。
defaultSSLHostConfigName:必須配置,設置爲默認使用的證書(shū)域名(certificateKeyAlias之一)。
certificateKeystoreFile:JKS證書(shū)文件(jiàn),請(qǐng)注意路(lù)徑要和實際文件(jiàn)一緻。
certificateKeystorePassword:JSK證書(shū)密碼,請(qǐng)從(cóng)證書(shū)包的使用說(shuō)明.txt複制。
certificateKeyAlias:證書(shū)别名,請(qǐng)設置爲您的證書(shū)域名。如(rú)果是通配符域名證書(shū)需要設置爲*.域名,例如(rú)*.bchost.com。
7、啓動/重啓Apache
(1) 請(qǐng)注意查看(kàn)logs/catalina.out日(rì)志,觀察是否啓動成功。
(2) 浏覽器輸入https://域名 訪問(wèn)測試網站(zhàn)。
8、http自(zì)動跳(tiào)轉https配置
(1) 配置自(zì)動跳(tiào)轉前,請(qǐng)先用https訪問(wèn)您的網站(zhàn),确認網站(zhàn)正常顯示。
(2) 編輯server.xml:
藍色部分(fēn)8443修改爲443,修改後:
藍色部分(fēn)8443修改爲443,修改後如(rú)圖所示:
(3) 編輯web.xml
搜索節點,後面加上這段配置:
(4) 重啓Tomcat服務,輸入http://域名,觀察是否自(zì)動跳(tiào)轉到https://域名。