安装PFX格式证书-常见问题

阿裏雲SSL證書服務支持下載證書安裝到Tomcat服務器上。Tomcat支持PFX格式和JKS兩種格式的證書，您可根據您Tomcat的版本擇其中一種格式的證書安裝到Tomcat上。本文檔介紹了PFX格式證書安裝的具體步驟。

前提條件

已安裝OpenSSL工具。
已下載Tamcat服務器所需要的證書文件。證書下載具體操作，請參見下載證書。說明

申請證書時如果未選擇系統自動創建CSR，證書下載壓縮包中将不包含.txt文件。需要您選擇其他類型服務器下載.crt證書，并使用openssl命令生成pfx文件。
如果您自己擁有其他證書，可使用openssl命令将您自己的證書文件轉化爲相應格式的文件，安裝到Tomcat服務器上。

已登錄您的Tomcat服務器。

背景信息

本文教程以Tomcat 7爲例。
Tomcat 9強制要求證書别名設置爲tomcat。您需要使用以下keytool命令将protocol="HTTP/1.1"轉換成protocol="org.apache.coyote.http11.Http11NioProtocol"。
```
keytool -changealias -keystore domain name.pfx -alias alias -destalias tomcat
```
本文檔證書名稱以domain name爲示例，如證書文件名稱爲domain name.pfx，證書密碼文件名稱爲pfx-password.txt。

操作步驟

解壓已下載保存到本地的Tomcat證書文件。解壓後您将看到文件夾中有2個文件，您可爲兩個證書文件重命名：
說明每次下載證書都會産生新的密碼，該密碼僅匹配本次下載的證書。如果需要更新證書文件，同時也要更新匹配的密碼。

證書文件（domain name.pfx）：以.pfx爲後綴或文件類型。
密碼文件（pfx-password.txt）：以.txt爲後綴或文件類型。

在Tomcat安裝目錄下新建cert目錄，将解壓的證書和密碼文件拷貝到cert目錄下。

修改配置文件server.xml，并保存。文件路徑：Tomcat安裝目錄/conf/server.xml

定位到<Connector port=”8443”和<Connector port="443"标簽内容，參照以下兩部分内容修改server.xml文件：

<!--   <Connector  port="8443" protocol="HTTP/1.1"   port="8443" SSLEnabled="true"   maxThreads="150" scheme="https" secure="true"   clientAuth="false" sslProtocol="TLS" /> -->

<Connector port="443"     protocol="HTTP/1.1"     SSLEnabled="true"     scheme="https"     secure="true"     keystoreFile="domain name.pfx"     keystoreType="PKCS12"     keystorePass="證書密碼"        clientAuth="false"     SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"     ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

說明

其中port屬性根據實際情況修改（https默認端口爲443）。如果使用其他端口号，則您需要使用https://yourdomain:port的方式來訪問您的網站。
其中keystoreFile代表證書文件的路徑，請用您證書的文件名替換domain name。
其中keystorePass代表證書密碼，請替換爲密碼文件pfx-password.txt中的内容。

可選：配置web.xml文件，開啓HTTP強制跳轉HTTPS。在文件</welcome-file-list>後添加以下内容：

<login-config>       <!-- Authorization setting for SSL -->       <auth-method>CLIENT-CERT</auth-method>       <realm-name>Client Cert Users-only Area</realm-name>   </login-config>   <security-constraint>       <!-- Authorization setting for SSL -->       <web-resource-collection >           <web-resource-name >SSL</web-resource-name>           <url-pattern>/*</url-pattern>       </web-resource-collection>       <user-data-constraint>           <transport-guarantee>CONFIDENTIAL</transport-guarantee>       </user-data-constraint>   </security-constraint>

重啓Tomcat。

後續操作

證書安裝完成後，可通過登錄證書綁定域名的方式驗證證書是否安裝成功。

https://domain name.com   #domain name替換成證書綁定的域名

如果網頁地址欄出現綠色小鎖标志，表示證書安裝成功。

驗證證書是否安裝成功時，如果網站無法通過https正常訪問，需确認您安裝證書的服務器443端口是否已開啓或被其他工具攔截。