CentOS Tomcat SSL证书安装步骤
导读:CentOS 上 Tomcat 安装 SSL 证书步骤 一 准备与前置检查 确认环境:CentOS 7/8/9、已安装 JDK 与 Tomcat 8.5/9,并正确设置 JAVA_HOME。 准备证书:从 CA 获取并下载 Tomcat...
CentOS 上 Tomcat 安装 SSL 证书步骤
一 准备与前置检查
- 确认环境:CentOS 7/8/9、已安装 JDK 与 Tomcat 8.5/9,并正确设置 JAVA_HOME。
- 准备证书:从 CA 获取并下载 Tomcat 证书包(PFX/PKCS#12,含密码文件) 或 JKS;确保域名已做 DNS 解析 并指向服务器 IP。
- 放置证书:将证书与密码文件放入 $CATALINA_HOME/conf/cert/(示例:/usr/local/tomcat/conf/cert/your_domain.pfx)。
- 防火墙放行:开放 443(或临时用 8443)端口。
- 备份配置:修改前先备份 conf/server.xml。
二 安装证书到 Tomcat
- 方式 A(推荐,PFX/PKCS#12)
- 若证书为 JKS,先转换为 PFX:
keytool -importkeystore -srckeystore your_domain.jks -destkeystore your_domain.pfx -srcstoretype JKS -deststoretype PKCS12 - 编辑 conf/server.xml,在 内配置 HTTPS 连接器(建议直接使用 443):
- 将 HTTP 的 redirectPort 改为 443,便于自动跳转:
- 如启用 AJP,同步修改:
- 可选:在 web.xml 底部加入 80→443 自动跳转(放到 之前)。
- 若证书为 JKS,先转换为 PFX:
- 方式 B(已有 PEM/CRT + KEY,转换为 JKS 再配置)
- 合并链并生成 PKCS#12:
cat your_domain.crt intermediate.crt > chain.crt
openssl pkcs12 -export -in chain.crt -inkey your_domain.key -out your_domain.p12 -name tomcat - 导入为 JKS:
keytool -importkeystore -srckeystore your_domain.p12 -srcstoretype PKCS12 -destkeystore your_domain.jks -deststoretype JKS - 在 server.xml 使用 JKS 配置(Tomcat 8.5+/9 推荐 语法):
- 同样将 HTTP 的 redirectPort 改为 443。
- 合并链并生成 PKCS#12:
三 启动与验证
- 重启 Tomcat:
systemctl restart tomcat - 检查端口监听:
netstat -nptl | grep -E ‘(:443|:8443)’ - 访问验证:
- 直接访问 https://your_domain/(端口 443 无需加端口号)
- 如临时使用 8443:https://your_domain:8443
- 证书链与主机名:确保中间证书已正确导入,浏览器无证书链或域名不匹配告警。
四 常见问题与处理
- 权限不足绑定 443:Tomcat 默认以 tomcat 用户运行,Linux 低端口受限。
- 方案 A:使用 authbind 授权 443 端口后启动 Tomcat。
- 方案 B:保持 8443 端口对外,配合 iptables/Nginx 做 443→8443 转发。
- HTTP 自动跳转:在 web.xml 添加 80 端口的 HTTPS 强制跳转规则(放到 之前)。
- 证书格式不匹配:PFX 对应 certificateKeystoreType=“PKCS12”;JKS 对应 “JKS”;路径使用绝对路径更稳妥。
- 重启失败排查:检查 server.xml 标签闭合、证书路径与密码是否正确,查看 catalina.out 日志。
五 附录 生成 CSR 与自测(可选)
- 生成 JKS 与 CSR(提交给 CA 前务必备份 keystore 与密码):
keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore server.jks
keytool -certreq -alias server -file server.csr -keystore server.jks - 导入签发后的服务器证书与中间证书(按 CA 提供顺序导入),再配置 server.xml 启用 443。
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: CentOS Tomcat SSL证书安装步骤
本文地址: https://pptw.com/jishu/754612.html