Tomcat 配置 SSL 证书指南
在 Apache Tomcat 服务器上配置 SSL/TLS 证书是实现 HTTPS 加密通信的关键步骤。以下是针对 Tomcat 环境的通用配置说明和常见问题解决方案。
一、配置文件定位与修改
配置前,需找到 Tomcat 的主配置文件 server.xml,通常位于 /tomcat/conf/ 目录下。若路径不确定,可在 Linux 系统中使用命令:
find / -name server.xml
在 server.xml 中查找被注释的 HTTPS 连接器配置段:
<!--
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NiProtocol"
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateFile="conf/domain.jks"
type="RSA" />
</SSLHostConfig>
</Connector>
-->
移除注释标记,并根据实际环境修改为以下内容:
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="\Tomcat 9.0\conf\domain.jks"
certificateKeyAlias="domain.com"
certificateKeystorePassword="123456"
type="RSA" />
</SSLHostConfig>
</Connector>
- port="443":HTTPS 默认端口,可按需调整(如 8443)
- certificateKeystoreFile:指向 JKS 格式证书文件的完整路径
- certificateKeyAlias:密钥库中的别名,导入时指定
- certificateKeystorePassword:JKS 文件的访问密码
保存后,重启 Tomcat 服务以应用更改。
二、常见问题:JKS 和 password.txt 文件为空
部分用户在申请免费 SSL 证书后,发现下载包中的 .jks 文件或 password.txt 内容为空。这是因为大多数免费证书服务仅提供 PEM 或 CRT 格式的证书文件,不直接生成 Java KeyStore (JKS) 文件。
解决方法如下:
- 确认已有文件:确保您已获得以下两个文件:
- 服务器证书(如
certificate.crt) - 私钥文件(如
private.key)
- 服务器证书(如
- 使用 OpenSSL 转换为 PKCS12 格式:
openssl pkcs12 -export -in certificate.crt -inkey private.key -out temp.p12 -name tomcat -passout pass:changeit
- 使用 keytool 导入为 JKS 格式:
keytool -importkeystore -srckeystore temp.p12 -srcstoretype PKCS12 -srcstorepass changeit -destkeystore server.jks -deststorepass changeit -alias tomcat
- 创建密码文件:将密码写入
keystorePass.txt,供 Tomcat 读取(注意权限安全)。
三、推荐 SSL 证书产品
为满足不同业务场景需求,以下是适用于 Tomcat 部署的主流 SSL 证书推荐:
| 产品名称 | 验证类型 | 参考价格 | 适用场景 |
|---|---|---|---|
| DigiCert Secure Site OV SSL | 组织验证 (OV) | 5980元/年起 | 适用于中大型电商平台、企业官网,需展示组织信息增强用户信任 |
| Sectigo PositiveSSL DV | 域名验证 (DV) | 198元/年起 | 适用于个人博客、测试环境或预算有限的小型网站 |
| 锐安信 eTrus OV SSL | 组织验证 (OV) | 698元/年起 | 适用于国内政务系统、金融分支机构等对合规性有要求的单位 |
京公网安备11010502031690号
网站经营企业工商营业执照
