安裝證書
Tomcat支持JKS格式證書,從Tomcat7開始也支持PFX格式證書,兩種證書格式任選其一。下載包中包含PFX格式證書和密碼文件。
1、PFX證書安裝
找到安裝 Tomcat 目錄下該文件server.xml,一般默認路徑都是在 conf 文件夾中。找到 <Connection port="8443" 標簽,增加如下屬性:
keystoreFile="/你的磁盤目錄/訂單號.pfx" keystoreType="PKCS12" keystorePass="證書密碼"
完整的配置如下,其中port屬性根據實際情況修改:
<Connector port="8443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/你的磁盤目錄/訂單號.pfx" keystoreType="PKCS12" keystorePass="證書密碼" sslEnabledProtocols="TLSv1" clientAuth="false" sslProtocol="TLS" />
2、JKS證書安裝
( 1 ) 使用java jdk將PFX格式證書轉換為JKS格式證書(windows環境注意在%JAVA_HOME%/jdk/bin目錄下執行)
keytool -importkeystore -srckeystore 訂單號.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS
回車后輸入一次PFX證書密碼,然后輸入兩次要設置的JKS證書密碼,並牢記此證書密碼。
( 2 ) 找到安裝 Tomcat 目錄下該文件Server.xml,一般默認路徑都是在 conf 文件夾中。找到 <Connection port="8443" 標簽,增加如下屬性:
keystoreFile="/你的磁盤目錄/your-name.jks"
keystorePass="證書解壓密碼"
完整的配置如下,其中port屬性根據實際情況修改:
<Connector port="8443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/你的磁盤目錄/your-name.jks" keystorePass="證書解壓密碼" clientAuth="false" sslProtocol="TLS" />
( 注意:不要直接拷貝所有配置,只需添加 keystoreFile,keystorePass,keystorePass等參數即可,其它參數請根據自己的實際情況修改 )
Nginx安裝證書
( 1 ) 打開 Nginx 安裝目錄下 conf 目錄中的 nginx.conf 文件,找到
# HTTPS server # #server { # listen 443; # server_name localhost; # ssl on; # ssl_certificate cert.pem; # ssl_certificate_key cert.key; # ssl_session_timeout 5m; # ssl_protocols SSLv2 SSLv3 TLSv1; # ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP; # ssl_prefer_server_ciphers on; # location / { # # #} #}
( 2 ) 將其修改為 ( 在 nginx 安裝目錄下創建 sslkey 目錄,將 for Nginx 里面的兩個證書文件拷貝到 sslkey 目錄下 ) :
server { listen 443; server_name localhost; ssl on; root html; index index.html index.htm; ssl_certificate 磁盤目錄/訂單號.pem; ssl_certificate_key 磁盤目錄/訂單號.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL; ssl_prefer_server_ciphers on; location / { root html; index index.html index.htm; } }
保存退出。
( 3 ) 重啟 Nginx。通過 https 方式訪問您的站點,測試站點證書的安裝配置。
Apache安裝證書
( 1 ) 打開 apache 安裝目錄下 conf 目錄中的 httpd.conf 文件,找到
#LoadModule ssl_module modules/mod_ssl.so (如果找不到請確認是否編譯過 openssl 插件)
#Include conf/extra/httpd_ssl.conf
( 2 ) 打開 apache 安裝目錄下 conf/extra 目錄中的 httpd-ssl.conf 文件 ( 注釋:yum 安裝配置目錄:conf.d/ssl.confubuntu/apache2 安裝目錄:conf/sites-enabled/*.conf ), 在配置文件中查找以下配置語句:
·添加 SSL 協議支持語句,關閉不安全的協議和加密套件 SSLProtocol all -SSLv2 -SSLv3 ·修改加密套件如下 SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL; ·將服務器證書公鑰配置到該路徑下(在 conf 目錄下創建 ssl 目錄,將 for Apache 里面的三 個證書文件拷貝到 ssl 目錄下) SSLCertificateFile conf/ssl/public.pem (證書公鑰) ·將服務器證書私鑰配置到該路徑下 SSLCertificateKeyFile conf/ssl/訂單號.key (證書私鑰) ·將服務器證書鏈配置到該路徑下 SSLCertificateChainFile conf/ssl/chain.pem (證書鏈)刪除行首的“#”號注釋符
保存退出。