自主管理平台，多线骨干网接入适用于小微企业
独立IP，更利于SEO优化独享服务器资源，访问质量高
国际专业机房，多接口大带宽高速稳定，适用于免备案客户
免备案，服务器时间为美国时区适用于外贸公司及免备案客户网站
更专业、更专用、更纯净稳定安全易操作，适用于DedeCMS程序
虚拟主机使用指南
多重备份&读写分离
资源弹性&快速迁移
即开即用&灵活高效
快云服务器
快云服务器是一种处理能力可弹性伸缩的计算服务，采用云计算技术和大规模分布存储技术，使您快速部署计算和网络资源！
快云数据库
快云数据库是一种基于MySQL开发，具有完善的备份、恢复、优化机制，产品采用多节点数据保存、引入读写分离技术，使业务操作更顺畅，产品可用性高达99.99%。
快云存储可以为您提供海量、安全和高可靠的存储产品。BGP多线接入，多层次安全防护。按实际容量付费真正使您专注于核心业务，体验云端的无限漫游，无限精彩！
快云CDN为广大用户提供高效、稳定、安全的CDN服务。
快云VPS站库分离更快速，云数据库免费送免费快速备案，免费试用，7天无理由退款
香港vps无需备案，五星级的多线BGP机房国际独享带宽，免费7*24小时不间断服务
托管优势十年经验，实力承诺多个机房，灵活选择免费重启，安装系统7*24小时全天候服务
租用优势免费测试，满意付款全新采购，赠送产权质保33个月，省心放心
免费维护维修，响应迅速
全球统一严格身份验证的标准EV SSL证书；适用于银行金融类、电子商务网站（网上购物）。
对网站所有单位的真实身份进行验证的标准型SSL证书；适用于电子商务网站、电子政务网站、企事业单位管理系统、电子邮件系统。
指只验证网站域名所有权的简易型SSL证书，域名验证型DV SSL证书仅能起到网站机密信息加密的作用，无法向用户证明网站的真实身份。所以，不推荐在电子商务网站部署 DV SSL证书，因为电子商务首先需要的是在线信任，其次才是在线安全。
景安客服中心服务理念就是站在客户的立场思考问题，为客户解决实际问题。我们会倾听您的意见，不断改进，提供更多符合您需求的服务！
&&&&如您对我们的服务有任何意见或建议，欢迎致电&
，景安客服中心全体员工竭诚为您服务。
Linux+Tomcat环境下安装SSL证书
作者：景安网络
访问次数：15980次
更新时间：
一、安装证书(温馨提示：安装证书前请先备份您需要修改的服务器配置文件) 1.确认证书文件及证书路径。 & 例证书文件为：.jks,放置目录为Tomcat的conf目录下。 & 2.配置server.xml文件。 & 打开conf目录下的server.xml文件，找到并修改以下内容：&!-- & &&Connector port=&8443& protocol=&HTTP/1.1& SSLEnabled=&true& & & & & & & & maxThreads=&150& scheme=&https& secure=&true& & & & & & & & clientAuth=&false& sslProtocol=&TLS& /& &SSL访问端口 &--& & 去掉注释并修改为：& Connector port=&443& protocol=&org.apache.coyote.http11.Http11Protocol& & & & & & & & maxThreads=&150& SSLEnabled=&true& scheme=&https& secure=&true& & & & & & & & keystoreFile=&keystore/SSL.jks& &keystorePass=&证书密码& & & & & & & & clientAuth=&false& sslEnabledProtocols = &TLSv1,TLSv1.1,TLSv1.2& & & & & & & & ciphers=&TLS_RSA_WITH_AES_128_CBC_SHA, & & & & & & & & & & & & & & & TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, & & & & & & & & & & & & & & & TLS_RSA_WITH_AES_128_CBC_SHA256, & & & & & & & & & & & & & & & TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, & & & & & & & & & & & & & & & TLS_RSA_WITH_3DES_EDE_CBC_SHA, & & & & & & & & & & & & & & & TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA& /& & 例：3.本地测试访问。如果本地测试，请做本地解析访问：打开C:\Windows\System32\Drivers\etc\hosts文件，用文本编辑器修 & &改，把证书绑定的域名解析到本地ip。4.完成配置后的效果。启动tomcat，访问https：//+证书绑定的域名：注：部署完毕后若网站无法通过https正常访问，可确认服务器443端口是否开启或被网站卫士等加速工具拦截。（1）开启方法：防火墙设置-例外端口-添加443端口（TCP）。（2）若被安全或加速工具拦截，可以在拦截记录中将443添加至信任列表。重启后，重新通过https访问。二、安装安全签章全球可信网站安全认证签章为动态显示的标识(含网站访问时实时时间)，不是静态图片，不可复制和不可假冒，只能在通过认证的网站使用。点击认证标识，可以显示此网站拥有者的认证信息，否则，就不是合法使用认证标识。目前该认证签章支持OV级以上证书使用，您购买了景安SSL证书后，将免费获得一个能直观地显示贵网站的认证信息的可信网站安全认证标识，能大大增强用户的在线信任，促成更多在线交易。所以，建议您在安装成功SSL证书后，马上在网站的首页和其他页面中添加如下代码动态显示可信网站安全认证标识。安装中文签章如果您希望在中文页面显示认证标识，则在中文页面添加如下代码： & & &SCRIPT LANGUAGE=&JavaScript& TYPE=&text/javascript& SRC=&/tws.js&&&/SCRIPT& 安装英文签章如果您希望在中文页面显示认证标识，则在英文页面添加如下代码： &&SCRIPT LANGUAGE=&JavaScript& TYPE=&text/javascript& SRC=&/tws-en.js&&&/SCRIPT&三、请保存好收到的证书压缩包文件及密码，以防丢失(本文为原创文章,未经允许禁止转载抄袭)
扫景安微信二维码“码”上有惊喜
24小时客服热线：&&景安企业QQ：&tomcat（4）
使用keytool 管理证书
在JAVA平台中，keytool是提供给技术人员进行证书管理的工具。关于它的使用，笔者将从实际应用的角度讲三点：1.如何构建独立的CA认证体系； 2.生成证书并提交CA认证，最终合成tomcat可用的SSL证书；3.证书格式的转换；
1.如何构建独立的CA认证体系
要构建独立CA认证体系，我们需要先生成一个作为ROOTCA的根证书，并内置到客户端的浏览器中。
以命名该ROOTCA为 YUAN_ROOTCA，并建立中间证书颁发机构 YUANLANGCHAO为例:
[root@oracle model]
What is your first and last name?
[Unknown]:
YUAN_ROOTCA
What is the name of your organizational unit?
[Unknown]:
What is the name of your organization?
[Unknown]:
What is the name of your City or Locality?
[Unknown]:
What is the name of your State or Province?
[Unknown]:
What is the two-letter country code for this unit?
[Unknown]:
Is CN=YUAN_ROOTCA, OU=YUAN, O=YUAN_HOME, L=SHANGHAI, ST=SHANGHAI, C=CN correct?
Enter key password for &YUAN_ROOTCA&
(RETURN if same as keystore password):
[root@oracle model]
Alias name: YUAN_ROOTCA
Creation date: Sep 22, 2015
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
MIIDdzCCAl+gAwIBAgIEHjF9GjANBgkqhkiG9w0BAQsFADBsMQswCQYDVQQGEwJDTjERMA8GA1UE
CBMIU0hBTkdIQUkxETAPBgNVBAcTCFNIQU5HSEFJMRIwEAYDVQQKDAlZVUFOX0hPTUUxDTALBgNV
BAsTBFlVQU4xFDASBgNVBAMMC1lVQU5fUk9PVENBMB4XDTE1MDkyMDE5MjIxMVoXDTI1MDkxNzE5
MjIxMVowbDELMAkGA1UEBhMCQ04xETAPBgNVBAgTCFNIQU5HSEFJMREwDwYDVQQHEwhTSEFOR0hB
STESMBAGA1UECgwJWVVBTl9IT01FMQ0wCwYDVQQLEwRZVUFOMRQwEgYDVQQDDAtZVUFOX1JPT1RD
QTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAISGfoPZ+GGVq67hdKXL+2WuVvKi6acv
6haEzAvX4atBRCPQPM156Wc288LEAvniW+Re29xxdKjH2GLRvkQ0XMwtO7eNExOLbICD3ZorPSmO
JiWfRj3V/mqKO53xAKPgr55ySxs9kDFBB1uYCEgWJd4qHBuzoi5rrBo0nCEVz4tbeT9lgkKxHsy/
fR6pt2Pl5EkbuVCiJBlr0j38Uw9cu19+B2TKMibBNhh90ZmgW4WTAzNzqs+lENiZOGzEUl0OL5SH
7UxKKpDDpqrRgC+6tjMMAXAkvN7LkP+7r7iX+B7myYjGYyeYCj/yY7F/Mm7o5McqyklmilvOwNNj
bkhpsxUCAwEAAaMhMB8wHQYDVR0OBBYEFKCyP52ihWWzOuLZvDLZ0K2duWv/MA0GCSqGSIb3DQEB
CwUAA4IBAQA65f6cqcv/S4Bg6WxY8lfUo9mNk+2NKeoC0h5qvgKf+45aJ0ygIbimkpvxgdabPyOl
BK4nsrp+PA0j952G5DEzCmwyzhlxvGgcAMvTW7RlQbxiogiSW+LMh2LEAYVhitYEPyHe/fYA+31H
bI7GMLzPa8vzAldcxCw44RL3K7MUUQ2drWcgwbKhkldovyBVzzGx+iVN4L4bDf/L1JumOLXN+Nsc
H6kmeeeqavr6KLfyCZ46aca50UgRM1/HmQEso5BLKTmE39u4nGj109iehiJZ8so39rgQObkAO1W4
0Wbn7d7WfTKqxziK8TM2nDcPz76/p/guqspJXaqfl0OBTG4j
[root@oracle model]
Certificate stored in file &YUAN_ROOTCA.cer&
我们需要将生成的YUAN_CAROOT.cer导入到客户端 受信任的根证书颁发机构
中，以在WindowsServer 2012R2上安装证书为例：
生成YUANLANGCHAO的证书，并发出颁发请求，由YUAN_ROOTCA进行签名认证并指定证书中的基本约束赋予有限于3级的CA权限：
[root@oracle model]
What is your first and last name?
[Unknown]:
YUANLANGCHAO
What is the name of your organizational unit?
[Unknown]:
YUANLANGCHAO
What is the name of your organization?
[Unknown]:
What is the name of your City or Locality?
[Unknown]:
What is the name of your State or Province?
[Unknown]:
What is the two-letter country code for this unit?
[Unknown]:
Is CN=YUANLANGCHAO, OU=YUANLANGCHAO, O=YUAN, L=SHANGHAI, ST=SHANGHAI, C=CN correct?
Enter key password for &YUANLANGCHAO&
(RETURN if same as keystore password):
[root@oracle model]
[root@oracle model]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[root@oracle model]
[root@oracle model]
Owner: CN=YUAN_ROOTCA, OU=YUAN, O=YUAN_HOME, L=SHANGHAI, ST=SHANGHAI, C=CN
Issuer: CN=YUAN_ROOTCA, OU=YUAN, O=YUAN_HOME, L=SHANGHAI, ST=SHANGHAI, C=CN
Serial number: 1e317d1a
Valid from: Sun Sep 20 15:22:11 EDT 2015 until: Wed Sep 17 15:22:11 EDT 2025
Certificate fingerprints:
67:09:36:53:72:D8:53:E8:62:8B:59:C9:B4:8F:15:87
SHA1: 10:FD:15:41:0C:14:9A:95:AB:7E:63:D4:A9:25:36:5A:AD:41:17:0E
SHA256: 42:B8:1E:A6:A9:A6:DA:22:B5:8B:25:5A:97:44:E2:D6:C1:40:48:06:62:8C:FB:8D:89:88:B7:88:8A:34:83:A6
Signature algorithm name: SHA256withRSA
Version: 3
Extensions:
SubjectKeyIdentifier [
KeyIdentifier [
0000: A0 B2 3F 9D A2 85 65 B3
3A E2 D9 BC 32 D9 D0 AD
..?...e.:...2...
0010: 9D B9 6B FF
Trust this certificate? [no]:
Certificate was added to keystore
[root@oracle model]
Certificate reply was installed in keystore
其中 keytool -importcert -file YUAN_ROOTCA.cer -alias chain_root -keystore YUANLANGCHAO.jks -storepass yuanlc123456 这一步是不能省的，如果漏掉的话 在执行 keytool -importcert -file YUANLANGCHAO.cer -alias YUANLANGCHAO -keystore YUANLANGCHAO.jks -storepass yuanlc123456 时会报”无法从回复中建立证书链“的错误。
YUANLANGCHAO 作为中间级CA其证书也是需要内置到浏览器中的，步骤与step2中类似，只不过
最后效果是
这个时候我们已经形成了CA的从属关系，YUAN_ROOTCA颁发给YUANGLANGCHAO，则YUANGLANGCHAO上级路径便是YUAN_ROOT这个因为我们在导入证书回复的时候已经导入了YUAN_ROOTCA的证书，所以keytool会自动帮我们建好证书链。
需要注意的是作为CA的证书一般是不用到具体服务器站点的。
下面我们将使用 中间CA
YUANLANGCHAO为具体的站点颁发证书。
2.生成证书并提交CA认证，最终合成tomcat可用的SSL证书
以为个人网站申请证书为例
[root@oracle model]
What is your first and last name?
[Unknown]:
What is the name of your organizational unit?
[Unknown]:
YUANLANGCHAO
What is the name of your organization?
[Unknown]:
What is the name of your City or Locality?
[Unknown]:
What is the name of your State or Province?
[Unknown]:
What is the two-letter country code for this unit?
[Unknown]:
Is CN=, OU=YUANLANGCHAO, O=YUAN, L=shanghai, ST=shanghai, C=cn correct?
Enter key password for &server&
(RETURN if same as keystore password):
[root@oracle model]
[root@oracle model]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[root@oracle model]
[root@oracle model]
Owner: CN=YUAN_ROOTCA, OU=YUAN, O=YUAN_HOME, L=SHANGHAI, ST=SHANGHAI, C=CN
Issuer: CN=YUAN_ROOTCA, OU=YUAN, O=YUAN_HOME, L=SHANGHAI, ST=SHANGHAI, C=CN
Serial number: 1e317d1a
Valid from: Sun Sep 20 15:22:11 EDT 2015 until: Wed Sep 17 15:22:11 EDT 2025
Certificate fingerprints:
67:09:36:53:72:D8:53:E8:62:8B:59:C9:B4:8F:15:87
SHA1: 10:FD:15:41:0C:14:9A:95:AB:7E:63:D4:A9:25:36:5A:AD:41:17:0E
SHA256: 42:B8:1E:A6:A9:A6:DA:22:B5:8B:25:5A:97:44:E2:D6:C1:40:48:06:62:8C:FB:8D:89:88:B7:88:8A:34:83:A6
Signature algorithm name: SHA256withRSA
Version: 3
Extensions:
SubjectKeyIdentifier [
KeyIdentifier [
0000: A0 B2 3F 9D A2 85 65 B3
3A E2 D9 BC 32 D9 D0 AD
..?...e.:...2...
0010: 9D B9 6B FF
Trust this certificate? [no]:
Certificate was added to keystore
[root@oracle model]
Certificate was added to keystore
[root@oracle model]
Certificate reply was installed in keystore
此时 www.yuanlangchao.jks文件便可以为服务器端的tomcat使用了。
3.证书格式的转换
JAVA平台的keytool工具已经满足了在JAVA平台中使用证书的所有需要。但生成的JKS证书并不可以在windows等其他平台直接使用。这个时候我们需要对JKS格式的证书惊醒格式转换。keytool支持从JKS转换到PKCS12，然后可以利用openssl对PKCS12证书进行提取公钥、私钥以及制作证书链等操作来满足不同平台对同一认证证书的使用。
下面介绍使用keytool进行格转换的方法：
以将www.yuanlangchao.jks转换为www.yuanlangchao.p12为例：
[root@oracle model]
我们便可得到 www.yuanlangchao.p12文件
当然从 PKCS12转换为JKS格式 只需要将上面的命令反过来即可。
keytool工具支持PKCS12与JKS之间相互转换，还是很方便并且经常被用到的。比如说如果你需要对只有包含公钥的证书 及私钥来生成一个 java平台可用的jks文件的话，则需要先通过openssl先生成 pkcs12格式的文件，然后再使用keytool转换为jks格式的文件。这在不同平台证书的转换中可以很好的衔接。这在介绍openssl工具使用时会讲到。目前版本的tomcat支持不指定证书库的存储类型直接使用pkcs12格式的证书。
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：12658次
排名：千里之外
原创：29篇
(1)(1)(1)(7)(19)2.Tomcat环境SSL服务器证书安装配置详细教程_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
2.Tomcat环境SSL服务器证书安装配置详细教程
0|0|文档简介|
中万网络是中国互联网络信息中心和互联网名...|
总评分0.0|
服务器证书受到了越来越多电商企业的青睐,它不仅可以显示网站的真实性,还可以在网站用户输入密码与用户名时对这些信息进行加密,全程保护用户信息安全放心完成交易。但很多企业在购买了ssl服务器证书后一头雾水,不知道如何下手进行安装。下面中万网络就教您如何在Tomcat服务器上安装SSL证书
阅读已结束，如果下载本文需要使用0下载券
想免费下载更多文档？
文档试读已结束，请登录后查看剩余内容！
你可能喜欢Tomcat怎么安装SSL证书方法教程_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
Tomcat怎么安装SSL证书方法教程
上传于|0|0|文档简介
&&Tomcat下怎么安装配置SSL证书,Tomcat配置安装SSL证书方法教程。
阅读已结束，如果下载本文需要使用2下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩8页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢