在Debian系统上为Tomcat配置SSL证书的步骤如下:
安装必要的软件:
确保系统是最新的,并安装Tomcat和OpenSSL工具。
sudo apt-get update
sudo apt-get upgrade
sudo apt-get install tomcat9 openssl
生成SSL证书:
使用OpenSSL生成自签名证书或从证书颁发机构(CA)获取证书。以下是生成自签名证书的命令:
sudo openssl req -new -newkey rsa:2048 -days 365 -nodes -x509 -keyout /usr/local/tomcat/conf/tomcat.key -out /usr/local/tomcat/conf/tomcat.crt
创建密钥库:
将生成的密钥和证书合并到一个密钥库文件中:
sudo openssl pkcs12 -export -out /usr/local/tomcat/conf/tomcat.pfx -inkey /usr/local/tomcat/conf/tomcat.key -in /usr/local/tomcat/conf/tomcat.crt
配置Tomcat:
编辑Tomcat的server.xml文件,通常位于/usr/local/tomcat/conf/目录下。找到或添加以下Connector元素:
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/usr/local/tomcat/conf/tomcat.pfx" keystorePass="your_keystore_password" clientAuth="false" sslProtocol="TLS"/>
请确保将keystoreFile和keystorePass替换为你实际的密钥库文件路径和密码。
重启Tomcat:
保存server.xml文件的更改,并重启Tomcat以应用新的配置:
sudo systemctl restart tomcat9
验证SSL配置:
打开浏览器,访问https://your_server_ip:443,你应该能看到一个安全锁标志,表示SSL配置成功。
如果在浏览器中访问时提示证书不受信任,可能是因为使用的是自签名证书。如果是这种情况,你可以选择信任该证书,或者在生产环境中使用由受信任的CA签发的证书。