CentOS系统Tomcat 8.5或9部署SSL证书

SSL证书服务 CAS

  • 产品描述
    • 介绍
    • 优势
    • 使用场景
    • 核心概念
  • SSL证书安装指南
    • Tomcat服务器安装SSL证书
    • 在Apache服务器上安装SSL证书
    • 在IIS服务器上安装SSL证书
    • 在Nginx或Tengine服务器上安装证书
  • 证书相关概念
    • 主流数字证书都有哪些格式?
  • 典型实践
    • Ubuntu系统Apache 2部署SSL证书
    • OpenSSL心血漏洞(Heartbleed)修复方案
    • 检测OpenSSL-DROWN漏洞
    • 密文填塞漏洞
    • CentOS系统Tomcat 8.5或9部署SSL证书
    • OpenSSL-CCS注入漏洞修复方案
    • HTTPS安全典型实践
      • 安全加固
      • 服务器软件
      • SSL和TLS部署
  • 操作指南
    • 多用户访问控制
    • 管理证书
    • BaiduTrust云端配置
    • 购买证书
    • 续费证书
    • 签发证书(OV与EV)
    • 购前准备
    • 部署证书
    • 签发证书(DV)
    • 重新签发证书
    • BaiduTrust签发证书
      • DV证书验证与签发
      • OV证书验证与签发
      • EV证书验证与签发
  • API参考
    • 通用说明
    • 云SSL相关接口
    • 公共请求头与公共响应头
    • 附录
    • 查询相关接口
    • 证书相关接口
    • 服务域名
    • 价格相关接口
    • 订单相关接口
    • 错误码
    • 概述
  • 常见问题
    • SSL证书申请问题
    • 浏览器访问相关问题
    • SSL证书部署问题
    • SSL证书生效问题
    • 常见问题总览
    • 一般问题
  • 产品定价
    • 申请退款
    • 产品定价
  • 产品动态
    • 最新活动
    • 最新公告
      • 有关TrustAsia品牌根证书的切换说明
      • 百度自有品牌证书BaiduTrust下线通知
      • Symantec证书品牌名及品牌标识变更通知
      • TrustAsia 免费证书 CT 政策问题
      • SSL证书有效期变更通知及应对策略
      • DigiCert 品牌根证书升级通知
      • 免费SSL证书有效期调整通知
所有文档
menu
没有找到结果,请重新输入

SSL证书服务 CAS

  • 产品描述
    • 介绍
    • 优势
    • 使用场景
    • 核心概念
  • SSL证书安装指南
    • Tomcat服务器安装SSL证书
    • 在Apache服务器上安装SSL证书
    • 在IIS服务器上安装SSL证书
    • 在Nginx或Tengine服务器上安装证书
  • 证书相关概念
    • 主流数字证书都有哪些格式?
  • 典型实践
    • Ubuntu系统Apache 2部署SSL证书
    • OpenSSL心血漏洞(Heartbleed)修复方案
    • 检测OpenSSL-DROWN漏洞
    • 密文填塞漏洞
    • CentOS系统Tomcat 8.5或9部署SSL证书
    • OpenSSL-CCS注入漏洞修复方案
    • HTTPS安全典型实践
      • 安全加固
      • 服务器软件
      • SSL和TLS部署
  • 操作指南
    • 多用户访问控制
    • 管理证书
    • BaiduTrust云端配置
    • 购买证书
    • 续费证书
    • 签发证书(OV与EV)
    • 购前准备
    • 部署证书
    • 签发证书(DV)
    • 重新签发证书
    • BaiduTrust签发证书
      • DV证书验证与签发
      • OV证书验证与签发
      • EV证书验证与签发
  • API参考
    • 通用说明
    • 云SSL相关接口
    • 公共请求头与公共响应头
    • 附录
    • 查询相关接口
    • 证书相关接口
    • 服务域名
    • 价格相关接口
    • 订单相关接口
    • 错误码
    • 概述
  • 常见问题
    • SSL证书申请问题
    • 浏览器访问相关问题
    • SSL证书部署问题
    • SSL证书生效问题
    • 常见问题总览
    • 一般问题
  • 产品定价
    • 申请退款
    • 产品定价
  • 产品动态
    • 最新活动
    • 最新公告
      • 有关TrustAsia品牌根证书的切换说明
      • 百度自有品牌证书BaiduTrust下线通知
      • Symantec证书品牌名及品牌标识变更通知
      • TrustAsia 免费证书 CT 政策问题
      • SSL证书有效期变更通知及应对策略
      • DigiCert 品牌根证书升级通知
      • 免费SSL证书有效期调整通知
  • 文档中心
  • arrow
  • SSL证书服务CAS
  • arrow
  • 典型实践
  • arrow
  • CentOS系统Tomcat 8.5或9部署SSL证书
本页目录
  • 环境准备
  • 前提条件
  • 操作步骤
  • 后续操作

CentOS系统Tomcat 8.5或9部署SSL证书

更新时间:2025-08-21

本文档介绍了CentOS系统下Tomcat 8.5或9部署SSL证书的操作说明。

环境准备

  • 操作系统:CentOS 7.6 64位

  • Web服务器:Tomcat 8.5或9

    注意:Tomcat服务器需要提前安装JDK环境变量,请前往Tomcat官网查看推荐的JDK兼容配置。

前提条件

  • 已从百度智能云SSL证书服务控制台下载Tomcat服务器证书(包含PFX格式证书文件和TXT格式密码文件)。
  • 您申请SSL证书时绑定的域名已完成DNS解析、实现了该域名指向您Tomcat服务器的IP地址。
    域名解析设置完成后执行 ping www.yourdomain.com 命令,如果返回了您所设置解析的主机IP地址,说明解析成功。

image.png

操作步骤

  1. 解压Tomcat证书。

注意: 每次下载证书都会产生新的密码,该密码仅匹配本次下载的证书。如果需要更新证书文件,同时也要更新匹配的密码。

  1. 将下载的证书和密码文件拷贝到Tomcat的 conf 目录下。

注意: 如果需要安装JKS格式证书,可使用以下命令将PFX格式证书转化成JKS格式。keytool -importkeystore -srckeystore domain name.pfx -destkeystore domain name.jks -srcstoretype PKCS12 -deststoretype JKS

  1. 打开Tomcat/conf/server.xml,在server.xml文件中找到以下参数并进行修改。
XML 
1<Connector port="8080" protocol="HTTP/1.1"
2              connectionTimeout="20000"
3              redirectPort="8443" />
4#找到以上参数,去掉<!- - 和 - ->这对注释符并修改为如下参数,对HTTPS默认端口进行配置:
5<Connector port="80" protocol="HTTP/1.1"   #将Connector port修改为80。
6              connectionTimeout="20000"
7              redirectPort="443" />    #将redirectPort修改为SSL默认端口443,让HTTPS请求转发到443端口。
XML 
1<Connector port="8443"
2         protocol="org.apache.coyote.http11.Http11NioProtocol"
3         maxThreads="150"
4         SSLEnabled="true">
5       <SSLHostConfig>
6           <Certificate       certificateKeystoreFile="cert/keystore.pfx"
7            certificateKeystorePassword="XXXXXXX"
8                        certificateKeystoreType="PKCS12" />
9   #找到以上参数,去掉<!- - 和 - ->这对注释符并修改为如下参数:
10   <Connector port="443"   #将Tomcat中默认的HTTPS端口Connector port 8443修改为443。8443端口不可通过域名直接访问、需要在域名后加上端口号;443端口是HTTPS的默认端口,可通过域名直接访问,无需在域名后加端口号。
11         protocol="org.apache.coyote.http11.Http11NioProtocol"   #server.xml文件中Connector port有两种运行模式(NIO和APR),请选择NIO模式(也就是protocol="org.apache.coyote.http11.Http11NioProtocol")这一段进行配置。
12         maxThreads="150"
13         SSLEnabled="true">
14       <SSLHostConfig>
15           <Certificate       certificateKeystoreFile="/usr/local/tomcat/cert/证书域名.pfx"   #此处certificateKeystoreFile代表证书文件的路径,请用您证书的路径+文件名替换证书域名.pfx,例如:certificateKeystoreFile="/usr/local/tomcat/cert/abc.com.pfx"
16            certificateKeystorePassword="证书密码"   #此处certificateKeystorePassword为SSL证书的密码,请用您证书密码文件pfx-password.txt中的密码替换,例如:certificateKeystorePassword="bMNML1Df"
17            certificateKeystoreType="PKCS12" />   #证书类型为PFX格式时,certificateKeystoreType修改为PKCS12。
18       </SSLHostConfig>
19   </Connector>
XML 
1<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
2#找到以上参数,去掉<!- - 和 - ->这对注释符并修改为如下参数:
3<Connector port="8009" protocol="AJP/1.3" redirectPort="443" />  #将redirectPort修改为443,让HTTPS请求转发到443端口。
  1. 保存server.xml文件配置。
  2. (可选步骤)在web.xml文件最底部添加以下内容,实现HTTP自动跳转为HTTPS。
XML 
1<security-constraint> 
2        <web-resource-collection > 
3             <web-resource-name >SSL</web-resource-name>  
4             <url-pattern>/*</url-pattern> 
5      </web-resource-collection> 
6      <user-data-constraint> 
7                   <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
8      </user-data-constraint> 
9</security-constraint>

  1. 重启Tomcat服务。

    1. 在Tomcat下的bin目录中执行./shutdown.sh关闭Tomcat服务。

    image.png

    1. 在Tomcat下的bin目录中执行./startup.sh开启Tomcat服务。

    image.png

后续操作

Tomcat服务重启成功后,您可在浏览器中输入您SSL证书绑定的域名 https://www.yourdomain.com 验证证书安装结果。浏览器地址栏显示绿色的小锁标识说明证书安装成功。

上一篇
密文填塞漏洞
下一篇
OpenSSL-CCS注入漏洞修复方案