1、SSL證書下載

證書成(chéng)功頒發(fā)後(hòu)，登陸www.bchost.cn->業務管理->SSL證書服務, 查詢->下載證書。

2、防火牆端口開(kāi)放說明

(1) https默認端口爲443。根據實際需求，您可以選擇其他端口，Tomcat配置、防火牆等請同步修改。

(2) 如果您使用的是雲服務器，請登錄雲平台系統，安全組增加TCP-443 端口的入站規則。

(3) 如果windows防火牆有啓用，增加開(kāi)放TCP-443 端口的入站規則。

3、備份配置文件

進(jìn)入Tomcat目錄/conf，備份如下文件：web.xml、server.xml。

4、上傳jks證書到tomcat目錄/conf下

5、配置方式一(Tomcat 5-7推薦)：

(1) 本方式，1個端口隻能(néng)配置1個證書，同一端口如要配置多個證書請您升級Tomcat版本到8+後(hòu)采用方式二配置。

(2) 支持版本：Tomcat5、Tomcat6、Tomcat7、Tomcat8、Tomcat9，其中

Tomcat5、Tomcat6、Tomcat7隻能(néng)用本方式，如要支持部署多個證書，不同站點必須監聽不同端口；或者升級到Tomcat8+；

Tomcat8、Tomcat9版本可采用本方式配置，但是推薦使用方式二配置；

(3) server.xml配置說明：

打開(kāi)server.xml，找出port="443"的配置段，替換爲如下配置(以下配置了支持HTTPS的二個端口443、8443)：

 443" protocol="org.apache.coyote.http11.Http11NioProtocol"

SSLEnabled="true" maxThreads="300" scheme="https" secure="true"  

clientAuth="false" sslProtocol="TLS"

keystoreFile="conf/bchost.cn.jks" keystorePass="Yw6F2t5eG4" keyAlias="www.bchost.cn"/>

8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

SSLEnabled="true" maxThreads="300" scheme="https" secure="true"  

clientAuth="false" sslProtocol="TLS"

keystoreFile="conf/114.com.cn.jks" keystorePass="Yw6F2t5eG4" keyAlias="*.114.com.cn"/>

# 藍色配置項說明

port：監聽端口，推薦使用HTTPS的默認端口443。

protocol，協議，請根據您的Tomcat版本設置：

Tomcat5：隻支持Http11Protocol

Tomcat6、Tomcat7：Http11Protocol、Http11NioProtocol 二選一

Tomcat8+：隻支持Http11NioProtocol

keystoreFile：JKS證書文件，請注意路徑要和實際文件一緻。

keystorePass：JSK證書密碼，請從證書包的使用說明.txt複制。

keyAlias：證書别名，請設置爲您的證書域名。如果是通配符域名證書需要設置爲*.域名，例如*.bchost.com。

6、配置方式二(Tomcat8+推薦)：

(1) 本方式，同一端口支持部署多個SSL證書。Tomcat8+版本，推薦本方式部署。

(2) 支持版本：Tomcat8、Tomcat9、Tomcat10、...

(3) 配置段說明：

打開(kāi)server.xml，找出port="443"的配置段，替換爲如下配置(以下配置了支持HTTPS的二個證書)：

443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" defaultSSLHostConfigName="*.bchost.cn">

*.bchost.cn">

conf/bchost.cn.jks"             

certificateKeystorePassword="Yw6F2t5eG4"

certificateKeyAlias="*.bchost.cn" type="RSA" />

conf/114.com.cn.jks"               

certificateKeystorePassword="Yw6F2t5eG4"

certificateKeyAlias="*.114.com.cn" type="RSA" />

# 藍色配置項說明

port：監聽端口，推薦使用HTTPS的默認端口443。

defaultSSLHostConfigName：必須配置，設置爲默認使用的證書域名(certificateKeyAlias之一)。

certificateKeystoreFile：JKS證書文件，請注意路徑要和實際文件一緻。

certificateKeystorePassword：JSK證書密碼，請從證書包的使用說明.txt複制。

certificateKeyAlias：證書别名，請設置爲您的證書域名。如果是通配符域名證書需要設置爲*.域名，例如*.bchost.com。

7、啓動/重啓Apache

(1) 請注意查看logs/catalina.out日志，觀察是否啓動成(chéng)功。

(2) 浏覽器輸入https://域名 訪問測試網站。

8、http自動跳轉https配置

(1) 配置自動跳轉前，請先用https訪問您的網站，确認網站正常顯示。

(2) 編輯server.xml：

8443" />

藍色部分8443修改爲443，修改後(hòu)：

     connectionTimeout="20000" redirectPort="443" />

8443" />

藍色部分8443修改爲443，修改後(hòu)如圖所示：

443" />

(3) 編輯web.xml

搜索節點，後(hòu)面(miàn)加上這(zhè)段配置：

        CLIENT-CERT

        Client Cert Users-only Area

            SSL

            /*

            CONFIDENTIAL

(4) 重啓Tomcat服務，輸入http://域名，觀察是否自動跳轉到https://域名。