配置Tomcat的SSL需完成以下关键步骤:
-
生成SSL证书
使用JDK的keytool生成自签名证书(仅适用于测试):keytool -genkey -alias tomcat -keyalg RSA -keystore /path/to/keystore.jks -validity 365(需输入密钥库密码、域名等信息,生成的
keystore.jks需保存至安全路径)。 -
修改Tomcat配置文件
编辑conf/server.xml,添加或修改<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/path/to/keystore.jks" keystorePass="your_password" sslProtocol="TLS" ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384" />port:HTTPS端口(默认8443,可自定义)。keystoreFile:证书库路径,keystorePass为密码。sslProtocol:指定TLS版本(如TLSv1.2、TLSv1.3)。ciphers:可选,指定支持的加密套件(如GCM模式的AES)。
-
重启Tomcat
保存配置后,重启服务使生效:./bin/shutdown.sh && ./bin/startup.sh -
验证配置
通过浏览器访问https://localhost:8443,检查证书是否加载(自签名证书可能提示“不安全”,需手动信任)。
生产环境注意事项:
- 需使用CA颁发的正式证书,而非自签名证书。
- 确保防火墙开放HTTPS端口,且网络设备正确转发HTTPS请求。
- 定期更新证书有效期,避免过期导致服务中断。