在Debian系统上配置Tomcat的SSL证书涉及几个步骤,包括生成或获取SSL证书、配置Tomcat以使用该证书。以下是一个详细的步骤指南:
Let’s Encrypt提供了一个免费的SSL证书颁发机构(CA),可以通过Certbot工具来获取和续订证书。
安装Certbot:
sudo apt update
sudo apt install certbot
运行Certbot获取证书:
sudo certbot certonly --standalone -d yourdomain.com -d www.yourdomain.com
按照提示完成证书的生成和存储。默认情况下,证书将存储在/etc/letsencrypt/live/yourdomain.com/目录下。
设置自动续订: Certbot会自动设置一个cron任务来续订证书。你可以手动测试续订过程:
sudo certbot renew --dry-run
备份现有的server.xml文件:
sudo cp /etc/tomcat9/server.xml /etc/tomcat9/server.xml.bak
编辑server.xml文件:
打开/etc/tomcat9/server.xml文件进行编辑:
sudo nano /etc/tomcat9/server.xml
找到并修改Connector配置: 找到以下类似的配置块:
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
添加或修改为以下内容以启用SSL:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="/etc/letsencrypt/live/yourdomain.com/fullchain.pem"
type="RSA" certificateKeystorePassword="your_keystore_password"
certificateKeyAlias="your_domain_name"/>
</SSLHostConfig>
</Connector>
请确保将certificateKeystoreFile、certificateKeystorePassword和certificateKeyAlias替换为实际值。
配置HTTP重定向到HTTPS(可选):
在<Engine>标签内添加以下配置,以便将所有HTTP请求重定向到HTTPS:
<Host name="localhost" appBase="webapps"
unpackWARs="true" autoDeploy="true">
<Valve className="org.apache.catalina.valves.HttpRedirectValve" port="8080" protocol="HTTP/1.1" />
</Host>
保存并关闭文件。
最后,重启Tomcat服务以应用更改:
sudo systemctl restart tomcat9
打开浏览器并访问https://yourdomain.com:8443,你应该能够看到Tomcat的默认页面,并且浏览器地址栏应该显示安全锁标志,表示SSL证书已正确安装和配置。
通过以上步骤,你应该能够在Debian系统上成功配置Tomcat的SSL证书。