https研究(五)利用從sslforfree網站下載的證書，實現https

第一步：下載證書

1.打開網址：https://www.sslforfree.com/

2.輸入你的域名

3.選擇手動驗證（下載驗證文件，檢測是否能夠訪問到）

4.驗證，按下圖說明進行操作

這一步比較複雜，容易出錯，請將準備工作前三步做好：

a.按要求下載文件#1/#2

b. 在tomcat/webapps下新建文件夾.wel-known（注意前面有個點，windows系統中寫文件名時必須在後面也加一個點才能創建成功）

c.新建的文件夾.wel-known下新建文件夾acme-challenge

d.將下載的驗證文件放到. wel-known/ .acme-challenge文件夾下

e.點擊鏈接1,2驗證是否可以訪問到下載的wenjian，成功如下圖：

否則（也可能是其他錯誤）

如果出錯，請檢查tomcat是否處於啓動狀態，配置是否正確，域名解析是否正確。

5.兩個鏈接都成功訪問後，點擊下載證書

6.下載之前需要先登錄該網站

7.登錄成功就可以下載了

8.將下載的壓縮文件解壓到certificate文件夾中（新建的一個文件夾，用於存放證書）

文件夾下有三個文件：

1.    certificate.crt

2.    ca_bundle.crt（根證書和中間證書）

3.    private.crt

第二步：證書格式轉換及配置tomcat

這一步需要使用keystool工具以及openssl工具，需要 用到準備五

一 、管理員身份運行cmd，進入證書所在目錄：

cd /d C:\Program_Files\certificate

二 、將三個文件分別導入keystore文件中（如果沒有keystore文件，會在當前目錄生成）

1.將ca_bundle.crt以別名root導入keystore

命令：

keytool -import -trustcacerts -alias root-file ca_bundle.crt -keystore keystore.jks

輸入密碼後，彈出上面內容直到：

輸入y：

2.將ca_bundle.crt以別名intermediate 導入keystore

keytool -import -trustcacerts -aliasintermediate -file ca_bundle.crt -keystore keystore.jks

3.將ca_bundle.crt以別名tomcat 導入keystore

keytool -import -trustcacerts -alias tomcat-file certificate.crt -keystore keystore.jks

2,3只是證書文件名不同，其餘都一樣，就不一一截圖。

導入成功後可以通過命令查看keystore中的文件，看是否導入成功

方法一：

keytool -list -keystore keystore.jks -v

方法二：以文本形式查看keystore中的文件

keytool -list -rfc -keystore keystore.jks

三 、修改tomcat配置

1.在tomcat/conf目錄下打開server.xml文件

去掉註釋，改爲如下代碼：

<Connector port="443" protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https" secure="true" clientAuth="false"
sslProtocol="TLS" keystoreFile="C:\Program_Files\certificate\keystore.jks"
keystorePass="123456" />   

並把8443都改爲443,443是https的默認端口號

2. 對tomcat\conf文件夾中的web.xml文件進行配置

在web.xml倒數</web-app>上添加如下代碼，設置強制跳轉

<security-constraint> 
		   <web-resource-collection > 
				  <web-resource-name >SSL</web-resource-name> 
				  <url-pattern>/*</url-pattern> 
		   </web-resource-collection>
								 
		   <user-data-constraint> 
				  <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
		   </user-data-constraint> 
</security-constraint>

重啓tomcat。

四 、 使用OpenSSL生成pfx文件（pfx和p12只是後綴名不同）

在當前文件位置，執行下面命令：

openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile ca_bundle.crt

五 、 將pfx導入keystore

keytool -importkeystore -srckeystore certificate.pfx -srcstorepass 123456 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -deststorepass 123456

重啓tomcat，現在訪問你的域名就可以自動使用https訪問你的主頁