前提條件
- 您的Tomcat服務器上已經開啟了443端口(HTTPS服務的默認端口)。
- 已下載Tomcat服務器所需要的證書文件。
操作步驟
- 解壓已下載保存到本地的Tomcat證書文件。
解壓后您將看到文件夾中有2個文件,您可為兩個證書文件重命名。
- 證書文件(domain name.pfx):以.pfx為后綴或文件類型。
- 密碼文件(pfx-password.txt):以.txt為后綴或文件類型。
說明 每次下載證書都會產生新的密碼,該密碼僅匹配本次下載的證書。如果需要更新證書文件,同時也要更新匹配的密碼。
方法一:去掉tomcat原有以下內容的注釋:
<Connector port="8443" protocol="HTTP/1.1" port="8443" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" />
方法二:參照以下內容修改<Connector port="443"標簽內容。
<Connector port="443" #port屬性根據實際情況修改(https默認端口為443)。如果使用其他端口號,則您需要使用https://yourdomain:port的方式來訪問您的網站。 protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="C:/Tomcat安裝目錄/cert/domain name.pfx" #證書名稱前需加上證書的絕對路徑,請使用您證書的文件名替換domain name。 keystoreType="PKCS12" keystorePass="證書密碼" #請替換為密碼文件pfx-password.txt中的內容。 clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
4、可選: 配置web.xml文件,開啟HTTP強制跳轉HTTPS。
在文件
</welcome-file-list>后添加以下內容:(也可以直接添加)
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
重啟Tomcat。
- 執行以下命令關閉Tomcat服務器。
./shutdown.sh - 執行以下命令開啟Tomcat服務器。
./startup.sh