centos下tomcat如何配置SSL證書

在CentOS系統下配置Tomcat的SSL證書，可以按照以下步驟進行：

1. 準備SSL證書

首先，你需要有一個SSL證書。你可以從Let’s Encrypt免費獲取，或者購買一個商業證書。

使用Let’s Encrypt獲取證書

1. 安裝Certbot：

   sudo yum install epel-release
   sudo yum install certbot
   

2. 獲取證書：

   sudo certbot certonly --standalone -d yourdomain.com -d www.yourdomain.com
   

   按照提示完成證書的申請和驗證過程。

2. 配置Tomcat

將生成的SSL證書文件復制到Tomcat的配置目錄中，并修改server.xml文件。

復制證書文件

假設你將證書文件放在/etc/letsencrypt/live/yourdomain.com/目錄下，你需要將這些文件復制到Tomcat的conf目錄中：

sudo cp /etc/letsencrypt/live/yourdomain.com/fullchain.pem /etc/tomcat/conf/
sudo cp /etc/letsencrypt/live/yourdomain.com/privkey.pem /etc/tomcat/conf/

修改server.xml

編輯Tomcat的conf/server.xml文件，找到以下注釋掉的SSL配置部分，并進行修改：

<!-- Define a SSL HTTP/1.1 Connector on port 8443 -->
<!--
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true">
    <SSLHostConfig>
        <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
                     type="RSA" />
    </SSLHostConfig>
</Connector>
-->

修改為：

<!-- Define a SSL HTTP/1.1 Connector on port 8443 -->
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true">
    <SSLHostConfig>
        <Certificate certificateKeystoreFile="/etc/tomcat/conf/fullchain.pem"
                     certificateKeystorePassword="your_keystore_password"
                     type="RSA" />
        <Certificate certificateKeyFile="/etc/tomcat/conf/privkey.pem"
                     type="RSA" />
    </SSLHostConfig>
</Connector>

3. 重啟Tomcat

保存server.xml文件后，重啟Tomcat以應用更改：

sudo systemctl restart tomcat

4. 驗證配置

打開瀏覽器，訪問https://yourdomain.com:8443，你應該能夠看到一個安全的連接。

注意事項

• 確保防火墻允許8443端口的流量。
• 如果你使用的是Let’s Encrypt證書，證書有效期通常為90天，需要定期更新。
• 如果你使用的是商業證書，證書有效期可能更長，但仍需定期檢查證書狀態。

通過以上步驟，你應該能夠在CentOS系統下成功配置Tomcat的SSL證書。