1、SSL證書(shū)下載

證書(shū)成功頒發後，登陸www.bchost.cn->業務管理(lǐ)->SSL證書(shū)服務, 查詢->下載證書(shū)。

2、防火(huǒ)牆端口開放(fàng)說(shuō)明

(1) https默認端口爲443。根據實際需求，您可(kě)以選擇其他(tā)端口，Tomcat配置、防火(huǒ)牆等請(qǐng)同步修改。

(2) 如(rú)果您使用的是雲服務器，請(qǐng)登錄雲平台系統，安全組增加TCP-443 端口的入站(zhàn)規則。

(3) 如(rú)果windows防火(huǒ)牆有啓用，增加開放(fàng)TCP-443 端口的入站(zhàn)規則。

3、備份配置文件(jiàn)

進入Tomcat目錄/conf，備份如(rú)下文件(jiàn)：web.xml、server.xml。

4、上傳jks證書(shū)到tomcat目錄/conf下

5、配置方式一(Tomcat 5-7推薦)：

(1) 本方式，1個端口隻能配置1個證書(shū)，同一端口如(rú)要配置多個證書(shū)請(qǐng)您升級Tomcat版本到8+後采用方式二配置。

(2) 支持版本：Tomcat5、Tomcat6、Tomcat7、Tomcat8、Tomcat9，其中

Tomcat5、Tomcat6、Tomcat7隻能用本方式，如(rú)要支持部署多個證書(shū)，不同站(zhàn)點必須監聽不同端口；或者升級到Tomcat8+；

Tomcat8、Tomcat9版本可(kě)采用本方式配置，但(dàn)是推薦使用方式二配置；

(3) server.xml配置說(shuō)明：

打開server.xml，找出port="443"的配置段，替換爲如(rú)下配置(以下配置了支持HTTPS的二個端口443、8443)：

 443" protocol="org.apache.coyote.http11.Http11NioProtocol"

SSLEnabled="true" maxThreads="300" scheme="https" secure="true"  

clientAuth="false" sslProtocol="TLS"

keystoreFile="conf/bchost.cn.jks" keystorePass="Yw6F2t5eG4" keyAlias="www.bchost.cn"/>

8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

SSLEnabled="true" maxThreads="300" scheme="https" secure="true"  

clientAuth="false" sslProtocol="TLS"

keystoreFile="conf/114.com.cn.jks" keystorePass="Yw6F2t5eG4" keyAlias="*.114.com.cn"/>

# 藍色配置項說(shuō)明

port：監聽端口，推薦使用HTTPS的默認端口443。

protocol，協議(yì)，請(qǐng)根據您的Tomcat版本設置：

Tomcat5：隻支持Http11Protocol

Tomcat6、Tomcat7：Http11Protocol、Http11NioProtocol 二選一

Tomcat8+：隻支持Http11NioProtocol

keystoreFile：JKS證書(shū)文件(jiàn)，請(qǐng)注意路(lù)徑要和實際文件(jiàn)一緻。

keystorePass：JSK證書(shū)密碼，請(qǐng)從(cóng)證書(shū)包的使用說(shuō)明.txt複制。

keyAlias：證書(shū)别名，請(qǐng)設置爲您的證書(shū)域名。如(rú)果是通配符域名證書(shū)需要設置爲*.域名，例如(rú)*.bchost.com。

6、配置方式二(Tomcat8+推薦)：

(1) 本方式，同一端口支持部署多個SSL證書(shū)。Tomcat8+版本，推薦本方式部署。

(2) 支持版本：Tomcat8、Tomcat9、Tomcat10、...

(3) 配置段說(shuō)明：

打開server.xml，找出port="443"的配置段，替換爲如(rú)下配置(以下配置了支持HTTPS的二個證書(shū))：

443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" defaultSSLHostConfigName="*.bchost.cn">

*.bchost.cn">

conf/bchost.cn.jks"             

certificateKeystorePassword="Yw6F2t5eG4"

certificateKeyAlias="*.bchost.cn" type="RSA" />

conf/114.com.cn.jks"               

certificateKeystorePassword="Yw6F2t5eG4"

certificateKeyAlias="*.114.com.cn" type="RSA" />

# 藍色配置項說(shuō)明

port：監聽端口，推薦使用HTTPS的默認端口443。

defaultSSLHostConfigName：必須配置，設置爲默認使用的證書(shū)域名(certificateKeyAlias之一)。

certificateKeystoreFile：JKS證書(shū)文件(jiàn)，請(qǐng)注意路(lù)徑要和實際文件(jiàn)一緻。

certificateKeystorePassword：JSK證書(shū)密碼，請(qǐng)從(cóng)證書(shū)包的使用說(shuō)明.txt複制。

certificateKeyAlias：證書(shū)别名，請(qǐng)設置爲您的證書(shū)域名。如(rú)果是通配符域名證書(shū)需要設置爲*.域名，例如(rú)*.bchost.com。

7、啓動/重啓Apache

(1) 請(qǐng)注意查看(kàn)logs/catalina.out日(rì)志，觀察是否啓動成功。

(2) 浏覽器輸入https://域名 訪問(wèn)測試網站(zhàn)。

8、http自(zì)動跳(tiào)轉https配置

(1) 配置自(zì)動跳(tiào)轉前，請(qǐng)先用https訪問(wèn)您的網站(zhàn)，确認網站(zhàn)正常顯示。

(2) 編輯server.xml：

8443" />

藍色部分(fēn)8443修改爲443，修改後：

     connectionTimeout="20000" redirectPort="443" />

8443" />

藍色部分(fēn)8443修改爲443，修改後如(rú)圖所示：

443" />

(3) 編輯web.xml

搜索節點，後面加上這段配置：

        CLIENT-CERT

        Client Cert Users-only Area

            SSL

            /*

            CONFIDENTIAL

(4) 重啓Tomcat服務，輸入http://域名，觀察是否自(zì)動跳(tiào)轉到https://域名。