Tomcat8.5/Tomcat9的证书部署

一、获取jks格式证书

l??通过mpki下的订单

• ? ? ?登录https://mpki.trustasia.com
  

• ? ? ? 查看订单后，操作：证书下载

• ? ? ? 输入订单密码（下订单时候设置的），新设置一个证书密码（之后会用到），选择JKS格式
  

• ? ? ? 确定提交后，将下载到一个jks文件，此jks文件的密码就是刚才设置的证书密码。
  

l??非mpki，单独生成私钥key文件的

1、获取生成jks文件的需要的文件。这里需要2个文件，1个是私钥文件（此文件是和下订单提交的csr文件一并生成的，文件名里一般保存带有key，用记事本或者vi打开后，开头内容是-----BEGIN RSA PRIVATE KEY-----）,可以咨询下提交订单的同事，这个文件没有的话，是无法部署的。另一个文件是证书文件，从证书邮件里，复制第一段(邮件里可能有好几段证书代码，这里第一段指的是您的SSL证书),-----BEGIN CERTIFICATE-----到-----END CERTIFICATE----,保存为server.crt.

?这样，就获得了2个文件。

• 证书文件server.crt
  

• 私钥文件key.txt? (任何后缀都可以)

2、用第一步里的2个文件到这里生成一个jks文件

• http://www.601869.cn/tools/cert-converter.htm

• 所填项如下：

• 源格式 pem

• 目标格式 jks

• 证书文件 选择第一步里的server.crt

• 私钥文件 选择第一步里的 key.txt

• Pem私钥密码? 不填

• 密钥库密码和确认密码 自己设置一个，不加特殊符号,一会配置文件里用到(如server.xml)

• 提交后就能或者一个你们域名的jks文件

二、到tomcat中部署证书

? ? ? 把jks文件存放到conf目录下，然后配置同目录下的server.xml文件，第一次配置的话，有段被注释掉的connector，使用的是NIO来做JSSE引擎的，修改为

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

?????????????? maxThreads="150" SSLEnabled="true">

??????? <SSLHostConfig>

??????????? <Certificate certificateKeystoreFile="conf/www.601869.cn.jks"

????????????? certificateKeystorePassword="刚才设置的证书密码"

????????????? certificateKeyAlias="www.601869.cn"

???????????????????????? type="RSA" />

??????? </SSLHostConfig>

??? </Connector>

?

注：certificateKeystorePassword和certificateKeyAlias 需要添加进去。

? ? ? ?certificateKeystorePassword为jks密码

? ? ? ?certificateKeyAlias为jks别名，没有特殊情况的别名就是申请的证书域名，比如申请了_.trustasia.com.jks的通配符证书，别名为*.trustasia.com; www.601869.cn.jks的别名就是www.601869.cn

? ? ? 别名查看方式，jdk工具里：keytool –list –keystore jks文件 –storepass jks文件密码。这样就可以显示出条目列表。