部署SSL证书参考手册

1、在CentOS系统Tomcat 8.5或9上部署SSL证书....3

2、在Apache服务器上安装SSL证书....5

3、在IIS服务器上安装SSL证书....8

1、在CentOS系统Tomcat 8.5或9上部署SSL证书

本文介绍了CentOS系统下Tomcat 8.5或9部署SSL证书的具体操作。

环境准备

·操作系统：CentOS 7.6 64位

·Web服务器：Tomcat 8.5或9

说明Tomcat服务器需要提前安装JDK环境变量，请前往Tomcat官网查看推荐的JDK兼容配置。

前提条件

·已购买并获得已签发的证书文件（包含PFX格式证书文件和TXT格式密码文件）。

·您申请SSL证书时绑定的域名已完成DNS解析，即实现域名与Tomcat服务器的IP地址相互映射。

您可以在Tomcat服务器执行ping 命令，如果正确返回了服务器的IP地址，说明已完成解析。

操作步骤

1.解压已下载的Tomcat证书。

说明每次下载证书都会产生新的密码，该密码仅匹配本次下载的证书。需要更新证书文件时，需同步更新匹配的密码。

2.将解压后的证书和密码文件拷贝到Tomcat的conf目录下。

如果需要安装JKS格式证书，可使用以下命令将PFX格式证书转化成JKS格式。

keytool -importkeystore -srckeystore domain_name.pfx -destkeystore domain_name.jks -srcstoretype PKCS12 -deststoretype JKS

3.打开Tomcat/conf/server.xml，在server.xml文件中找到以下参数并进行修改。

4."8080"protocol="HTTP/1.1"

5.connectionTimeout="20000"

6.redirectPort="8443"/>

7.

8.找到以上参数，去掉和- ->这对注释符并修改为如下参数，对HTTPS默认端口进行配置：

9."80"protocol="HTTP/1.1"将Connector port修改为80。

10.connectionTimeout="20000"

redirectPort="443"/>将redirectPort修改为SSL默认端口443，让HTTPS请求转发到443端口。

"8443"

protocol="org.apache.coyote.http11.Http11NioProtocol"

maxThreads="150"

SSLEnabled="true">

certificateKeystoreFile="cert/keystore.pfx"

certificateKeystorePassword="XXXXXXX"

certificateKeystoreType="PKCS12"/>

找到以上参数，去掉和- ->这对注释符并修改为如下参数：

"443"将Tomcat中默认的HTTPS端口Connector port 8443修改为443。8443端口不可通过域名直接访问、需要在域名后加上端口号；443端口是HTTPS的默认端口，可通过域名直接访问，无需在域名后加端口号。

protocol="org.apache.coyote.http11.Http11NioProtocol"server.xml文件中Connector port有两种运行模式（NIO和APR），请选择NIO模式（也就是protocol="org.apache.coyote.http11.Http11NioProtocol"）这一段进行配置。

maxThreads="150"

SSLEnabled="true">

certificateKeystoreFile="/usr/local/tomcat/cert/证书域名.pfx"此处certificateKeystoreFile代表证书文件的路径，请用您证书的路径+文件名替换证书域名.pfx，例如：certificateKeystoreFile="/usr/local/tomcat/cert/example.com.pfx"

certificateKeystorePassword="证书密码"此处certificateKeystorePassword为SSL证书的密码，请用您证书密码文件pfx-password.txt中的密码替换，例如：certificateKeystorePassword="bMNML1Df"

certificateKeystoreType="PKCS12"/>证书类型为PFX格式时，certificateKeystoreType修改为PKCS12。

"8009"protocol="AJP/1.3"redirectPort="8443"/>

找到以上参数，去掉和- ->这对注释符并修改为如下参数：

"8009"protocol="AJP/1.3"redirectPort="443"/>将redirectPort修改为443，让HTTPS请求转发到443端口。

11.保存server.xml文件配置。

12.可选：在web.xml文件最底部添加以下内容，实现HTTP自动跳转为HTTPS。

13.

14.

15.SSL

16./*

17.

18.

19.CONFIDENTIAL

20.

21.执行./shutdown.sh和./startup.sh命令重启Tomcat服务。

后续操作

Tomcat服务重启成功后，您可在浏览器中输入您SSL证书绑定的域名https://验证证书安装结果。浏览器地址栏显示小锁标识说明证书安装成功。

2、在Apache服务器上安装SSL证书

您可以通过将证书安装到Apache服务器，使Apache服务器支持HTTPS安全访问。本文介绍如何在Apache服务器中安装证书。

前提条件

·已购买并获得已签发的证书文件。

·您的Apache服务器上已经开启了443端口（HTTPS服务的默认端口）。

·您的Apache服务器上已安装了mod_ssl.so模块（启用SSL功能）。

操作步骤

重要本文档证书名称以domain_name为示例，例如：证书文件名称为domain_name_public.crt，证书链文件名称为domain_name_chain.crt，证书密钥文件名称为domain_name.key。

1.解压已下载保存到本地的Apache证书文件。

解压后的文件夹中有3个文件：

o证书文件：以.crt为后缀或文件类型。

o证书链文件：以.crt为后缀或文件类型。

o密钥文件：以.key为后缀或文件类型。

说明

o申请证书时如果CSR生成方式选择的是手动填写或选择已有的CSR，未选择系统生成，则证书下载压缩包中将不包含.key文件（密钥文件）。

o.crt扩展名的证书文件采用Base64-encoded的PEM格式文本文件，可根据需要修改成.pem等扩展名。

2.在Apache安装目录中新建cert目录，并将解压的Apache证书、证书链文件和密钥文件拷贝到cert目录中。

如果需要安装多个证书，需在Apache安装目录中新建对应数量的cert目录，用于存放不同的证书。

说明如果申请证书时CSR生成方式选择了手动填写，请将手动生成创建的密钥文件拷贝到cert目录中并命名为domain_name.key。

3.修改httpd.conf配置文件。

a.在Apache安装目录Apache/conf/下，打开httpd.conf文件。

说明Apache/conf/为Apache的默认安装目录，如果修改过该路径，您需要在修改后的路径下查找httpd.conf文件。您也可以通过find / -name httpd.conf命令搜索httpd.conf文件。

b.在httpd.conf文件中找到以下参数，按照下文中注释内容进行配置。

c.LoadModule ssl_module modules/mod_ssl.so删除行首的配置语句注释符号加载mod_ssl.so模块启用SSL服务，Apache默认不启用该模块。

Include conf/extra/httpd-ssl.conf删除行首的配置语句注释符号。

说明如果您在httpd.conf文件中没有找到以上参数，请确认您的Apache服务器中是否已经安装mod_ssl.so模块。如未安装，可执行yum install -y mod_ssl命令安装mod_ssl.so模块。安装后，可执行httpd -M|grep "ssl"命令检查mod_ssl.so是否安装成功。

2022年1月1日起CentOS官方将不再对CentOS 8提供服务支持，如果您的操作系统是CentOS 8，yum命令可能无法正常使用。

d.保存httpd.conf文件并退出。

4.修改httpd-ssl.conf配置文件。

.在Apache/conf/extra/目录下，打开httpd-ssl.conf文件。

说明根据操作系统的不同，http-ssl.conf文件也可能存放在conf.d/ssl.conf/目录下。

a.在httpd-ssl.conf文件中找到以下参数，按照下文中注释内容进行配置。

b.

c.ServerName修改为申请证书时绑定的域名。

d.DocumentRoot/data/www/hbappserver/public

e.SSLEngine on

f.SSLProtocol all -SSLv2 -SSLv3添加SSL协议支持协议，去掉不安全的协议。

g.SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM修改加密套件。

h.SSLHonorCipherOrder on

i.SSLCertificateFile cert/domain_name1_public.crt将domain_name1_public.crt替换成您证书文件名。

j.SSLCertificateKeyFile cert/domain_name1.key将domain_name1.key替换成您证书的密钥文件名。

k.SSLCertificateChainFile cert/domain_name1_chain.crt将domain_name1_chain.crt替换成您证书的密钥文件名；证书链开头如果有字符，请删除。

l.

m.

n.如果证书包含多个域名，复制以上参数，并将ServerName修改为第二个域名。

o.

p.ServerName修改为申请证书时绑定的第二个域名。

q.DocumentRoot/data/www/hbappserver/public

r.SSLEngine on

s.SSLProtocol all -SSLv2 -SSLv3添加SSL协议支持协议，去掉不安全的协议。

t.SSLCipherSuite HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM修改加密套件。

u.SSLHonorCipherOrder on

v.SSLCertificateFile cert/domain_name2_public.crt将domain_name2替换成您申请证书时的第二个域名。

w.SSLCertificateKeyFile cert/domain_name2.key将domain_name2替换成您申请证书时的第二个域名。

x.SSLCertificateChainFile cert/domain_name2_chain.crt将domain_name2替换成您申请证书时的第二个域名；证书链开头如果有字符，请删除。

重要请关注您的浏览器版本是否支持SNI功能。如果不支持，多域名证书配置将无法生效。

y.保存httpd-ssl.conf文件并退出。

5.可选：修改httpd.conf文件，设置HTTP请求自动跳转HTTPS。

在httpd.conf文件中的 中间，添加以下重定向代码。

RewriteEngineon

RewriteCond%{SERVER_PORT}!^443$

RewriteRule^(.*)$https://%{SERVER_NAME}$1 [L,R]

6.重启Apache服务器使SSL配置生效。

在Apache的bin目录下执行以下步骤：

.执行apachectl -k stop停止Apache服务。

a.执行apachectl -k start开启Apache服务。

后续操作

证书安装完成后，您可通过访问证书的绑定域名验证该证书是否安装成功。

https://yourdomain需要将yourdomain替换成证书绑定的域名。

如果网页地址栏出现小锁标志，表示证书已经安装成功。

证书安装完成后，如果网站无法通过HTTPS正常访问，需确认您安装证书的服务器443端口是否已开启或被其他工具拦截。

3、在IIS服务器上安装SSL证书

您可以在IIS（Internet Information Services）服务器上安装SSL证书，确保Web服务支持HTTPS安全访问。本文以安装在Windows Server 2012 R2操作系统上的IIS 8为例，介绍如何为IIS服务器安装SSL证书。

前提条件

您已购买并获得SSL证书文件。

背景信息

不同版本的Window操作系统或IIS服务器，导入证书或为网站绑定证书的具体位置可能有所差异。本文以安装在Windows Server 2012 R2操作系统上的IIS 8为例介绍SSL证书安装过程，供您参考。实际部署时，如有遇到问题，请联系经销商技术专家进行咨询。

步骤一：将SSL证书（IIS）上传到服务器

1.连接到装有Windows Server 2012 R2操作系统的服务器。

将已签发的SSL证书（IIS）文件上传到服务器。

步骤二：导入证书

1.在服务器按Win+R键，打开运行。

2.输入mmc，单击确定，打开Windows服务器控制台（MMC，Microsoft Management Console）。

3.为本地计算机添加证书管理单元。

a.在控制台的顶部菜单栏，选择文件>添加/删除管理单元。

b.在添加或删除管理单元对话框，从左侧可用的管理单元列表中选择证书，单击添加。

c.在证书管理单元对话框，选择计算机账户，单击下一步。

d.在选择计算机对话框，选择本地计算机（运行此控制台的计算机），单击完成。

e.在添加或删除管理单元对话框，单击确定。

4.在控制台左侧导航栏，展开控制台根节点>证书（本地计算机），然后将光标放置在个人上并打开右键菜单，选择所有任务>导入。

5.根据对话框提示，完成证书导入向导。

a.欢迎使用证书导入向导：单击下一步。

b.要导入的文件对话框：单击浏览，打开PFX格式的证书文件，单击下一步。

警告在打开文件时，您必须先将文件类型设置为所有文件（*），然后再选择证书文件。

c.私钥保护：打开TXT格式的私钥文件，复制文件内容，并将内容粘贴在密码文本框，单击下一步。

d.证书存储：选中根据证书类型，自动选择证书存储，单击下一步。

e.正在完成证书导入向导：单击完成。

f.收到导入成功提示后，单击确定。

步骤三：为网站绑定证书

1.打开IIS管理器。

2.在左侧连接导航栏，展开主机，单击网站，选择对应的域名。

3.在右侧操作导航栏，单击绑定。

4.在网站绑定对话框，单击添加。

5.在添加网站绑定对话框，完成网站的相关配置，并单击确定。

网站绑定的具体配置如下：

o类型：选择https。

oIP地址：选择服务器的IP地址。

o端口：默认为443，无需修改。

说明如果您设置了其他端口（例如8443），则网站用户通过浏览器访问网站时，必须在网站域名后输入端口号（以8443为例，用户必须在地址栏输入https://domain_name:8443）才能访问网站。使用默认端口443时无该限制，用户在浏览器地址栏输入https://domain_name，即可访问网站。

o主机名：填写网站域名。

oSSL证书：选择已导入的证书。

6.在网站绑定对话框，单击关闭。

步骤四：验证证书是否安装成功

打开计算机的浏览器，在地址栏输入安装的证书所绑定的域名，验证证书在IIS服务器上是否安装成功。

如果您能够获得响应且地址栏的前部出现图标（如下图所示），表示成功建立了HTTPS连接，证书已经安装成功。

阅读原文：章云科技SSL证书业务介绍

长按二维码关注我们

了解更多云计算.网络安全服务方案

欢迎关注章云官方公众号

https://zhangyun.com.cn