標籤:根據 設定 1.2 password name cer exp 一段 SHA256
Tomcat支援JKS格式認證,從Tomcat7開始也支援PFX格式認證,兩種認證格式任選其一。檔案說明:1. 認證檔案21397867314xxxx.pem,包含兩段內容,請不要刪除任何一段內容。2. 如果是認證系統建立的CSR,還包含:認證私密金鑰檔案21397867314xxxx.key、PFX格式認證檔案21397867314xxxx.pfx、PFX格式認證密碼檔案pfx-password.txt。1、認證格式轉換
在 Tomcat的安裝目錄下建立cert目錄,並且將下載的全部檔案拷貝到cert目錄中。如果申請認證時是自己建立的CSR檔案,附件中只包含 21397867314xxxx.pem檔案,還需要將私密金鑰檔案拷貝到cert目錄,命名為213978673140913.key;如果是系統建立的 CSR,請直接到第2步。
到cert目錄下執行如下命令完成PFX格式轉換命令,此處要設定PFX認證密碼,請牢記:
openssl pkcs12 -export -out 213978673140913.pfx -inkey 213978673140913.key -in 213978673140913.pem
2、PFX認證安裝
找到安裝Tomcat目錄下該檔案server.xml,一般預設路徑都是在 conf 檔案夾中。找到 <Connection port="8443" 標籤,增加如下屬性:
keystoreFile="cert/21397867314xxxx.pfx"keystoreType="PKCS12"#此處的認證密碼,請參考附件中的密碼檔案或在第1步中設定的密碼keystorePass="認證密碼"
完整的配置如下,其中port屬性根據實際情況修改:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="cert/21397867314xxxx.pfx" keystoreType="PKCS12" keystorePass="認證密碼" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
前端調度:
server { listen 80; listen 443; server_name test.xxx.com; location / { proxy_pass http://guor_test-appsrv_pools; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_redirect http:// $scheme://; } }
後端TOMCAT:# vim conf/server.xml
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/cert/21397867314xxxx.pfx" keystoreType="PKCS12" keystorePass="21397867314xxxx" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
tomcat 配置https