HTTPS（SSL / TLS）免費證書申請及網站證書部署實戰總結（轉）

原創

安小平

2020-06-23 04:52

原文地址：https://www.cnblogs.com/RoyalBlue/p/9843218.html

服務器環境：windows server 2008 + tomcat7

廢話不多說，先看部署效果：

一、免費證書申請

Let's Encrypt 簡介：let's Encrypt 是一個免費的開放的非盈利證書頒發機構，截至2018年7月底，Let's Encrypt root（ISRG Root X1）直接受到Microsoft產品的信任。

目前受到所有主要root程序的信任，包括Microsoft，Google，Apple，Mozilla，Oracle和Blackberry。即所有主流操作系統環境及瀏覽器均已信任該機構頒發的證書。

******************************************************************

根據官方的要求，我們在VPS、服務器上部署Let's Encrypt免費SSL證書之前，需要系統支持Python2.7以上版本以及支持GIT工具。這種方式沒有研究過，有興趣的

小夥伴可以研究下。

這裏我們採用LEGainer - windows下Let's Encrypt證書申請工具來申請證書（申請成功的前提是網站能通過域名正常訪問，如果還沒有搭建好網站，可以先搭建網站，再申請ssl證書）

第一步：工具下載地址：https://pan.baidu.com/s/1BVKwXccF7m2AkDWgWh480A

第二步：解壓工具，修改配置

解壓文件後打開LEGainer.exe.config 修改配置節點

如下圖：

　　Mail：是你的聯繫郵箱

　　Domain：是你要申請證書的域名

　　WebDir：是你網站的本地目錄，LEGainer在申請證書過程中會在此目錄生成文件，Let's Encrypt會通過域名訪問生成的文件，所以請確保域名正確解析和綁定。

　　CertificateSaveDir：是證書申請下來後的保存目錄。

　　PFXPassword：是pfx證書的密碼。

第三步：在域名所在的主機，運行LEGainer.exe 生成證書；

出現“success!~Enter press any key exit!”字樣時，證書就生成成功了。

假設你申請證書的域名爲：www.travellight.xyz，那麼LEGainer會生成如下幾個證書文件：

　　_certificate.der 是證書文件，der格式

　　_certificate.pem 是證書pem格式

　　_csr.pem 是證書籤名請求文件

　　_key.pem 是私鑰文件

　　_pkcs12.pfx 是iis用的存放證書和私鑰的文件

　　_chain.pem 是證書鏈

第四步：合成tomcat需要的.jks證書

　　這裏我採用在線生成當然也可以自己用工具生成

　　在線合成地址：https://www.myssl.cn/tools/merge-jks-cert.html

　　密鑰文件(KEY文件)：www.travellight.xyz_key.pem

　　證書文件(CRT/CER文件):www.travellight.xyz_certificate.pem
合成時需填寫JKS密碼（一定要記住，tomcat配置中需要填寫），合成後會生成JKS文件我生成的是 travellight.jks

第五步：將travellight.jks 文件拷貝至服務器tomcat conf 目錄中，修改tomcat配置

　　打開 tomcat/conf 目錄下server.xml文件修改配置：

（1）一般tomcat7中該段配置默認是註釋掉的，去掉註釋，按如下添加配置並將默認端口8443改爲443（修改原因：實測如果使用8443作爲ssl端　　　　　　口,http[http://www.travellight.xyz]重定向時瀏覽器網址欄中會在域名後帶上8443端口如：https://www.travellight.xyz:8443,

　　　　直接用https://www.travellight.xyz無法訪問網站，使用443端口則不存在此問題）