海外云服务器 40个地区可选            亚太云服务器 香港 日本 韩国

云虚拟主机 个人和企业网站的理想选择            俄罗斯电商外贸虚拟主机 赠送SSL证书

美国云虚拟主机 助力出海企业低成本上云             WAF网站防火墙 为您的业务网站保驾护航

随着互联网安全意识的不断增强，HTTPS 已成为现代 Web 通信的标准协议，对于使用 Apache Tomcat 作为 Web 容器的 Java Web 应用而言，配置 SSL 证书以实现 HTTPS 访问，是保障用户数据在传输过程中不被窃取或篡改的关键步骤，本文将以 Tomcat 7 为例，详细介绍如何配置 SSL 证书，涵盖生成密钥库、申请证书、配置 server.xml 文件以及验证部署效果等完整流程。

SSL（Secure Sockets Layer）是一种早期广泛使用的加密通信协议，其继任者为更安全的 TLS（Transport Layer Security），通过 SSL/TLS 证书，客户端与服务器之间可以建立安全的加密通道，有效防止中间人攻击（MITM），确保敏感信息（如用户名、密码、交易数据等）的安全传输，在 Tomcat 中启用 SSL 后，用户即可通过 HTTPS 协议访问 Web 应用,显著提升系统的安全性和可信度。

配置前的准备工作

在开始配置之前,请确保已完成以下准备工作：

1. 获取 SSL 证书
   可从权威证书颁发机构（CA）购买正式证书，也可使用 OpenSSL 工具生成自签名证书用于开发或测试环境。

2. 安装 Java 开发环境（JDK）
   Tomcat 7 基于 Java 运行，需安装 JDK 并正确配置环境变量（如 JAVA_HOME）。

3. 准备 keytool 工具
   keytool 是 JDK 自带的密钥和证书管理工具，用于生成密钥对、导出证书请求以及导入证书。

4. 确认域名和服务器 IP 地址
   申请证书时需确保填写的 Common Name（CN）与实际访问的域名一致,否则浏览器会提示证书不匹配。

生成密钥库（Keystore）

Tomcat 7 使用 Java 的 Keystore 来存储私钥和对应的证书，我们需要使用 keytool 生成一个密钥对，并将其保存到一个密钥库文件中（如：tomcat.keystore）。

执行以下命令生成密钥库：

keytool -genkeypair -alias tomcat -keyalg RSA -keystore tomcat.keystore -validity 365

• -alias：为密钥设置别名，推荐使用 tomcat。
• -keyalg：指定密钥算法，推荐使用 RSA。
• -keystore：指定生成的密钥库文件名。
• -validity：证书有效期,单位为天。

执行命令时,会提示输入以下信息：

• 设置密钥库密码（建议设置为 changeit，这是 Tomcat 的默认密码）
• 输入组织名称、单位、城市、省份、国家代码等信息
• 确认信息无误后，设置密钥密码（可直接回车,使用密钥库密码）

生成证书签名请求（CSR）

如果计划向证书颁发机构申请正式证书，需要生成一个证书签名请求（CSR）文件，使用如下命令生成 CSR：

keytool -certreq -alias tomcat -file tomcat.csr -keystore tomcat.keystore

生成的 tomcat.csr 文件可以提交给 CA 机构进行证书申请。

导入证书到密钥库

当 CA 机构审核通过并返回证书文件（通常为 .crt 或 .p7b 格式）后，需将证书导入密钥库中,操作步骤如下：

1. 导入根证书（可选）
   如果证书机构提供了根证书或中间证书链,建议优先导入：

   keytool -importcert -alias rootca -trustcacerts -file rootca.crt -keystore tomcat.keystore

2. 导入服务器证书
   导入由 CA 颁发的服务器证书：

   keytool -importcert -alias tomcat -file server.crt -keystore tomcat.keystore

配置 Tomcat 的 server.xml 文件

Tomcat 的 SSL 配置主要在 conf/server.xml 文件中完成，找到默认的 HTTPS Connector 配置段落,并修改为如下内容：

<Connector port="8443" protocol="HTTP/1.1"
           SSLEnabled="true"
           maxThreads="150"
           scheme="https"
           secure="true"
           clientAuth="false"
           sslProtocol="TLS"
           keystoreFile="/path/to/tomcat.keystore"
           keystorePass="changeit"/>

• port：HTTPS 监听端口，通常使用 8443 或 443。
• keystoreFile：密钥库文件的完整路径。
• keystorePass：密钥库密码，默认为 changeit。
• SSLProtocol：建议使用 TLS 协议以获得更高的安全性。

注意：Tomcat 7 默认使用 JSSE（Java Secure Socket Extension）实现 SSL/TLS，无需额外安装 APR 或 OpenSSL 库。

重启 Tomcat 并验证配置

修改配置后，重启 Tomcat 服务以使更改生效：

./shutdown.sh
./startup.sh

随后通过以下链接测试 HTTPS 是否配置成功：

https://yourdomain.com:8443

如果浏览器提示证书不受信任（针对自签名证书），可手动将其添加到信任列表，若能正常访问，则说明 SSL 配置已成功部署。

强制 HTTPS 访问（可选）

为了确保所有请求都通过 HTTPS 协议访问，可以在应用的 web.xml 文件中添加如下安全约束配置：

<security-constraint>
    <web-resource-collection>
        <web-resource-name>SecureWebApp</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

该配置会强制所有请求通过 HTTPS 传输,提高整体安全性。

常见问题与解决方案

1. 证书信任问题
   使用自签名证书时，浏览器会提示“不安全连接”,解决方法是将证书手动导入浏览器或操作系统信任库。

2. 端口未开放或被防火墙阻止
   确保服务器防火墙已开放 443 或 8443 端口，并检查安全组设置（如云服务器）。