第一步:下載證書
1.打開網址:https://www.sslforfree.com/
2.輸入你的域名
3.選擇手動驗證(下載驗證文件,檢測是否能夠訪問到)
4.驗證,按下圖說明進行操作
a.按要求下載文件#1/#2
b. 在tomcat/webapps下新建文件夾.wel-known(注意前面有個點,windows系統中寫文件名時必須在後面也加一個點才能創建成功)
c.新建的文件夾.wel-known下新建文件夾acme-challenge
d.將下載的驗證文件放到. wel-known/ .acme-challenge文件夾下
e.點擊鏈接1,2驗證是否可以訪問到下載的wenjian,成功如下圖:
否則(也可能是其他錯誤)
如果出錯,請檢查tomcat是否處於啓動狀態,配置是否正確,域名解析是否正確。
5.兩個鏈接都成功訪問後,點擊下載證書
6.下載之前需要先登錄該網站
7.登錄成功就可以下載了
8.將下載的壓縮文件解壓到certificate文件夾中(新建的一個文件夾,用於存放證書)
1. certificate.crt
2. ca_bundle.crt(根證書和中間證書)
3. private.crt
第二步:證書格式轉換及配置tomcat
這一步需要使用keystool工具以及openssl工具,需要 用到準備五
一 、管理員身份運行cmd,進入證書所在目錄:
cd /d C:\Program_Files\certificate
二 、將三個文件分別導入keystore文件中(如果沒有keystore文件,會在當前目錄生成)
1.將ca_bundle.crt以別名root導入keystore
命令:
keytool -import -trustcacerts -alias root-file ca_bundle.crt -keystore keystore.jks
輸入密碼後,彈出上面內容直到:
輸入y:
2.將ca_bundle.crt以別名intermediate 導入keystore
keytool -import -trustcacerts -aliasintermediate -file ca_bundle.crt -keystore keystore.jks
3.將ca_bundle.crt以別名tomcat 導入keystore
keytool -import -trustcacerts -alias tomcat-file certificate.crt -keystore keystore.jks
2,3只是證書文件名不同,其餘都一樣,就不一一截圖。
導入成功後可以通過命令查看keystore中的文件,看是否導入成功
方法一:
keytool -list -keystore keystore.jks -v
方法二:以文本形式查看keystore中的文件
keytool -list -rfc -keystore keystore.jks
三 、修改tomcat配置
1.在tomcat/conf目錄下打開server.xml文件
去掉註釋,改爲如下代碼:
<Connector port="443" protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https" secure="true" clientAuth="false"
sslProtocol="TLS" keystoreFile="C:\Program_Files\certificate\keystore.jks"
keystorePass="123456" />
並把8443都改爲443,443是https的默認端口號
2. 對tomcat\conf文件夾中的web.xml文件進行配置
在web.xml倒數</web-app>上添加如下代碼,設置強制跳轉
<security-constraint>
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
在當前文件位置,執行下面命令:
openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -certfile ca_bundle.crt
五 、 將pfx導入keystore
keytool -importkeystore -srckeystore certificate.pfx -srcstorepass 123456 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -deststorepass 123456重啓tomcat,現在訪問你的域名就可以自動使用https訪問你的主頁