各类网站部署SSL证书

要给自己的网站配置 SSL 证书，首先要申请一个 SSL 证书，有很多平台可以免费申请（当然也有收费的），比如说腾讯云。申请成功后，将证书下载下来，下载到的是一个压缩包，里面包含各种服务器版本的证书，不同服务器不一样的配置。

1. Apache部署SSL证书

编辑 Apache根 目录下 conf/httpd.conf 文件，
找到 #LoadModule ssl_module modules/mod_ssl.so 和 #Include conf/extra/httpd-ssl.conf，去掉前面的#号注释；
编辑 Apache 根目录下 conf/extra/httpd-ssl.conf 文件，修改如下内容：

<VirtualHost www.domain.com:443>
DocumentRoot “/var/www/html” #你的网站根目录位置
ServerName www.domain.com      #你的域名
SSLEngine on                                    #启用SSL功能
SSLCertificateFile /usr/local/apache/conf/2_www.domain.com_cert.crt    #你的CA证书文件
SSLCertificateKeyFile /usr/local/apache/conf/3_www.domain.com.key     #你的私钥文件
SSLCertificateChainFile /usr/local/apache/conf/1_root_bundle.crt             #你的证书链文件
</VirtualHost>

配置完成后，重新启动 Apache 就可以使用 https://www.domain.com 来访问了。

2. Nginx部署SSL证书

将域名 www.domain.com 的证书文件 1_www.domain.com_bundle.crt 、私钥文件 2_www.domain.com.key 保存到同一个目录，例如 /usr/local/nginx/conf 目录下。
更新 Nginx 根目录下 conf/nginx.conf 文件如下：

server {
listen 443;
server_name www.domain.com;                               #填写绑定证书的域名
ssl on;                                                                              #启用SSL功能
ssl_certificate 1_www.domain.com_bundle.crt;  #证书文件
ssl_certificate_key 2_www.domain.com.key;       #私钥文件
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;                   #按照这个协议配置
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;  #按照这个套件配置
ssl_prefer_server_ciphers on;
location / {
root   html;  #站点目录
index  index.html index.htm;
}
}

配置完成后，先用 bin/nginx –t 来测试下配置是否有误，正确无误的话，重启 nginx。就可以使 https://www.domain.com 来访问了。

2.1 使用全站加密，http 自动跳转 https

对于用户不知道网站可以进行 https访问的情况下，让服务器自动把 http 的请求重定向到 https。
在服务器这边的话配置的话，可以在页面里加js脚本，也可以在后端程序里写重定向，当然也可以在 web 服务器来实现跳转。Nginx 是支持 rewrite 的（只要在编译的时候没有去掉 pcre）
在 http 的 server 里增加 rewrite ^(.*) https://host 1 permanent;
这样就可以实现 80 进来的请求，重定向为 https 了。

3. Tomcat 证书部署

3.1 获取证书
如果申请证书时有填写私钥密码，下载可获得 Tomcat 文件夹，其中有密钥库 www.domain.com.jks；
如果没有填写私钥密码，不提供 Tomcat 证书文件的下载，需要用户手动转换格式生成。
可以通过 Nginx 文件夹内证书文件和私钥文件生成jks格式证书
转换工具：https://www.trustasia.com/tools/cert-converter.htm
使用工具时注意填写 密钥库密码 ，安装证书时配置文件中需要填写。

3.2 证书安装

配置 SSL 连接器，将 www.domain.com.jks 文件存放到 conf 目录下，然后配置同目录下的 server.xml 文件：

<Connector port=”443″
protocol=”HTTP/1.1″
SSLEnabled=”true”
maxThreads=”150″
scheme=”https”
secure=”true”
keystoreFile=”conf\www.domain.com.jks”
keystorePass=”changeit”
clientAuth=”false”
sslProtocol=”TLS” />

注：

3.3 http 自动跳转 https 的安全配置
到conf目录下的 web.xml。在 后面，，也就是倒数第二段里，加上这样一段

<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection><user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>

这步目的是让非 ssl 的 connector 跳转到 ssl 的 connector 去。所以还需要前往 server.xml 进行配置：

<Connector
port=”80″
protocol=”HTTP/1.1″
connectionTimeout=”20000″
redirectPort=”443″
/>

redirectPort 改成 ssl 的 connector 的端口 443，重启后便会生效。