tomcat服务器证书安装配置指南5489.docx

服务器证证书安装装配置指指南（TTomccat  6） 一、    生成成证书请请求 1.   安装装JDKK安装TTomccat需需要JDDK支持持。如果果您还没没有JDDK的安安装，则则可以参参考Jaava SE Devveloopmeent Kitt (JJDK) 下载载。下载载地址：htttp:/jaava.sunn.coom/jjavaase/dowwnlooadss/inndexx.jssp2.  生成成keyystoore文文件生成成密钥库库文件kkeysstorre.jjks需需要使用用JDKK的keeytoool工工具。命命令行进进入JDDK下的的binn目录，运运行keeytoool命命令。（示示例中粗粗体部分分为可自自定义部部分，请请根据实实际配置置情况作作相应调调整）kkeyttooll -ggenkkey -alliass seerveer -keyyalgg RSSA -keyysizze 220488 -kkeysstorre kkeysstorre.jjks -sttoreepasss ppasssworrd 以以上命令令中，sservver为为私钥别别名(-aliias)，生成成的keeysttoree.jkks文件件默认放放在命令令行当前前路径下下。3.  生成成证书请请求文件件(CSSR)KKeyttooll -ccerttreqq -aaliaas sservver -siigallg MMD5wwithhRSAA -ffilee ceertrreq.csrr -kkeysstorre kkeysstorre.jjks -keeypaass passswoord -sttoreepasss ppasssworrd备份份密钥库库文件kkeysstorre.jjks，并并稍后提提交证书书请求文文件ceertrreq.csrr，等待待证书签签发。二二、   导入服服务器证证书1.  获取取服务器器证书中中级CAA证书为为保障服服务器证证书在客客户端的的兼容性性，服务务器证书书需要安安装两张张中级CCA证书书(不同同品牌证证书，可可能只有有一张中中级证书书)。从从邮件中中获取中中级CAA证书：将证书书签发邮邮件中的的从BEEGINN到 EEND结结束的两两张中级级CA证证书内容容（包括括“-BBEGIIN CCERTTIFIICATTE-”和“-EEND CERRTIFFICAATE-”）分别别粘贴到到记事本本等文本本编辑器器中，并并修改文文件扩展展名，保保存为iinteermeediaate11.ceer和iinteermeediaate22.ceer文件件。  2.   获取服服务器证证书您的的keyystoore密密码将证证书签发发邮件中中的从BBEGIIN到 ENDD结束的的服务器器证书内内容（包包括“-BBEGIIN CCERTTIFIICATTE-”和“-EEND CERRTIFFICAATE-”）粘贴贴到记事事本等文文本编辑辑器中，并并修改文文件扩展展名，保保存为sservver.cerr文件33.   查看KKeysstorre文件件内容进进入JDDK安装装目录下下的biin目录录，运行行keyytoool命令令。keeytoool -liist -keeysttoree C:keeysttoree.jkks -stooreppasss paasswwordd查询到到PriivatteKeeyEnntryy属性的的私钥别别名(aaliaas)为为serrverr。记住住该别名名，在稍稍后导入入服务器器证书时时需要用用到。（示示例中粗粗体部分分为可自自定义部部分，请请根据实实际配置置情况作作相应调调整。）注意，导入证书时，一定要使用生成证书请求文件时生成的keystore.jks文件。keystore.jks文件丢失或生成新的keystore.jks文件，都将无法正确导入您的服务器证书。4.  导入证书(如果只有一张中级证书，则只需要导入一张中级证书)导入第一张中级CA证书keytool -import -alias intermediate1 -keystore C:keystore.jks -trustcacerts -storepass password -file C:intermediate1.cer导入第二张中级CA证书keytool -import -alias intermediate2 -keystore C:keystore.jks -trustcacerts -storepass password -file C:intermediate2.cer导入服务器证书keytool -import -alias server -keystore C:keystore.jks -trustcacerts -storepass password -file C:server.cer导入服务器证书时，服务器证书的别名必须和私钥别名一致。请留意导入中级CA证书和导入服务器证书时的提示信息，如果您在导入服务器证书时使用的别名与私钥别名不一致，将提示“认证已添加至keystore中”而不是应有的“认证回复已安装在keystore中”。证书导入完成，运行keystool命令，再次查看keystore文件内容keytool -list -keystore C:keystore.jks -storepass password  三、  安装服服务器证证书1.  单向向认证的的配置复复制已正正确导入入认证回回复的kkeysstorre.jjks文文件到TTomccat安安装目录录下的cconff目录。打打开coonf目目录下的的serrverr.xmml文件件，找到到并修改改以下内内容     <<!-     <CConnnecttor porrt=""84443" prootoccol="HTTTP/1.11" SSSLEEnabbledd="ttruee"                    maaxThhreaads="1550" schhemee="hhttpps" seccuree="ttruee"                    cllienntAuuth="faalsee" ssslPProttocool=""TLSS" />SSSL访问问端口     ->>修改为为     <CConnnecttor porrt=""4433" pprottocool=""HTTTP/11.1"" SSSLEnnablled="trrue""                   maxxThrreadds=""1500" sscheeme="htttpss" ssecuure="trrue""                   keyystooreFFilee="cconffkeeysttoree.jkks" keyystoorePPasss="ppasssworrd"                    cclieentAAuthh="ffalsse" ssllProotoccol="TLLS" />默默认的SSSL访访问端口口号为4443，如如果使用用其他端端口号，则则您需要要使用hhttpps:/yoourddomaain:porrt的方方式来访访问您的的站点。2.  双向认证的配置配置双向认证时，您还需要指定客户端认证的信任库文件。客户端认证信任库文件（truststoreFile）可以和服务器证书密钥库文件（keystoreFile）为同一个文件，也可以进行独立配置。示例中使用相同的密钥库文件。您需要首先将客户端认证的根证书以及中级CA证书导入到客户端认证信任库。    <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"               maxThreads="150" scheme="https" secure="true"               keystoreFile="confkeystore.jks" keystorePass="password"               truststoreFile="confkeystore.jks" truststorePass="password"               clientAuth="true" sslProtocol="TLS" />3.  访问测试重启Tomcat，访问https:/youdomain:port，测试证书的安装。四、  服务器证书的备份及恢复在您成功的安装和配置了服务器证书之后，请务必依据下面的操作流程，备份好您的服务器证书，以防证书丢失给您带来不便。1.  服务器证书的备份备份服务器证书密钥库文件keystore.jks文件即可完成服务器证书的备份操作。2.  服务器证书的恢复请参照服务器证书安装部分，将服务器证书密钥库keystore.jks文件恢复到您的服务器上，并修改配置文件，恢复服务器证书的应用。