怎樣購買及安裝ssl安全證書
現在越來越多的網站都開始用安全連結了,在國外的話,如果不是一個安全連結,使用者很大程度上會拒絕使用,所有安全連結是未來的趨勢,樓主第一次配安全證書的時候,剛剛大學畢業,是完完全全小白一個,後來工作中需要配置,自己也各種查資料,最終花了幾天,在Tomcat、nodejs、Nginx上都配好了安全連結。
廢話不多說,直接開始說步驟吧。
環境和條件:Linux系統,Tomcat8,jdk1.8,域名,及購買好的ssl證書。
第一:如何購買ssl證書
網上銷售ssl證書的網站很多,價錢從幾百到幾千都有,由於樓主窮光蛋一個,只能申請一下免費的ssl證書,阿里雲上面就可以申請數量有限的ssl證書。但本次樓主介紹的購買ssl證書是叫
按照步驟購買成功,及繫結域名後,如下圖,點選下載ssl檔案
第二步:把下載下來的ssl證書解壓,可以看到有Apache、IIS、Nginx幾個資料夾,裡面就是各個伺服器要按照的安全證書了,這個時候我們就可以把安全證書放到我們的linux伺服器上,如下圖。
第三步:這裡以Tomcat為例,其實Tomcat安裝ssl證書,相對來比nodejs和Nginx來說麻煩一點。
1.PFX格式
從Tomcat7開始也支援PFX格式證書,PFX格式只適用tomcat7 及其以上的版本
a.找到安裝Tomcat目錄下該檔案server.xml,一般預設路徑都是在 conf 資料夾中。找到 <Connection port="8443" 標籤,增加如下屬性:
keystoreFile="cert/214002146520484.pfx"
keystoreType="PKCS12"
#此處的證書密碼,請參考附件中的密碼檔案
keystorePass="證書密碼"
完整的配置如下,其中port屬性根據實際情況修改:
<Connector port="443"
protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="ssl/214002146520484.pfx" //證書路徑地址
keystoreType="PKCS12"
keystorePass="證書密碼" //證書密碼
clientAuth="false"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
2、JKS證書安裝
a. 使用java jdk將PFX格式證書轉換為JKS格式證書
keytool -importkeystore -srckeystore domains_ssl.pfx -destkeystore domains.jks -srcstoretype PKCS12 -deststoretype JKS
回車後輸入JKS證書密碼和PFX證書密碼,強烈推薦將JKS密碼與PFX證書密碼相同,否則可能會導致Tomcat啟動失敗。如下
Enter destination keystore password:
Re-enter new password:
Enter source keystore password:
Entry for alias alias successfully imported.
Import command completed: 1 entries successfully imported, 0 entries failed or cancelled
當然網上也有很多的轉化工具,方便我們進行證書格式的轉化
b.找到安裝 Tomcat 目錄下該檔案[email protected]@@@xml,一般預設路徑都是在 conf 資料夾中。找到 <Connection port="8443" 標籤,增加如下屬性:
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="conf/www.domain.com.jks" //證書路徑地址
keystorePass="密碼" //證書密碼
clientAuth="false" sslProtocol="TLS" />
完整的配置如下,其中port屬性根據實際情況修改:
重啟 Tomcat。
通過 https 方式訪問您的站點,測試站點證書的安裝配置
(這裡說明一下,也可以到https://www.myssl.cn/tools/merge-pfx-cert.html這個網站上去轉換)第四步:打開個人域名用https訪問,可以看到如下頁面,到此處配置完成。
的
的 大是大