1. 到阿里雲網站上購買CA證書
跟我一樣窮的,請選擇免費證書。土豪隨便選一個。
雖然不要錢,但是一定要去支付。
確認支付後,出現支付成功頁面。
至此證書已購買成功!進入證書控制檯。
2. 補全證書信息。
免費證書只能綁定一個域名,填好後進入下一步
填寫申請信息,紅框內的內容保證如圖所示,這是最簡單的方式。
填完後等待審覈,一般1小時內會郵件通知審覈通過。
3. 下載證書
回到證書列表頁面,點擊右側下載鏈接。
進入下載頁面,選擇Tomcat,然後點下載證書按鈕,會下載一個壓縮文件。
頁面上的操作說明不是很靠譜,不要全信。
4. 配置Tomcat
4.1 解壓縮證書文件
在服務器上的Tomcat的conf目錄下新建目錄cert,把壓縮包裏的文件解壓進去。
4.2 配置server.xml
4.2.1
打開server.xml文件,找到<Connector port="8080" protocol="HTTP/1.1"這行,將內容改成如圖所示。我將tomcat的訪問端口改成了80,這個看自己需要。並且設置了跳轉到443端口,這樣用戶使用http訪問時tomcat會自動幫你跳轉到https。如果改了443端口號,後面的設置裏都要將443端口改成你自己的設置。
4.2.2
找到<Connector port="8443" 這行,在下面增加如圖所示內容。端口我使用了443,證書文件要使用絕對路徑,密碼要自己動壓縮包裏的密碼文件裏複製過來。
文本內容如下:
<Connector port="443"
protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="C:/apache-tomcat-7.0.55/conf/cert/證書文件名.pfx"
keystoreType="PKCS12"
keystorePass="證書密碼"
clientAuth="false"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
4.2.3
在下面再增加一行,內容如下:
<Connector port="8009" protocol="AJP/1.3" redirectPort="443" />
4.3 配置web.xml
打開conf目錄下的web.xml文件,在文件最後,</welcome-file-list>下面增加下面內容:
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>