本文介绍在Tomcat服务器上配置JKS(Java KeyStore)和PFX(也称为PKCS12)格式SSL证书的方法,包括证书文件的下载与上传、配置证书参数及安装后的验证步骤。
如有问题,请联系产品技术专家进行咨询,详情请参见专家一对一服务。
适用范围
开始配置前,确保满足以下条件:
证书状态:已拥有由权威机构签发的 SSL 证书。若证书即将过期或已过期,请先续费SSL证书。
域名匹配:确保证书能够匹配所有需保护的域名。如需添加或修改,请参见追加和更换域名。
精确域名:仅对指定域名生效。
example.com仅对example.com生效。www.example.com仅对www.example.com生效。
通配符域名:仅对其一级子域名生效。
*.example.com对www.example.com、a.example.com等一级子域名生效。*.example.com对根域名example.com和多级子域名a.b.example.com不生效。
说明如需匹配多级子域名,绑定域名中需包含该域名(如
a.b.example.com),或包含相应的通配符域名(如*.b.example.com)。服务器权限:需要使用
root账户或一个具有sudo权限的账户。域名备案与解析:
ICP 备案:域名已完成工信部 ICP 备案(仅适用于中国内地服务器)。
域名解析:域名已通过 A 记录解析至服务器的公网 IP。
说明可访问网络诊断分析工具,输入域名,检查 DNS 服务商解析结果和备案检查项,确保满足要求。
操作步骤
步骤一:准备证书文件
进入SSL证书管理页面,在目标证书操作列单击更多进入证书详情页面,然后在下载页签中下载服务器类型为Tomcat的证书。
解压下载的证书压缩包,解压后包含一个证书文件(.pfx或.jks)和证书密码文件(.txt)。
说明选择证书格式时,应根据实际需求、资源和系统兼容性来决定。
JKS是Java专用的密钥库格式,适合主要在Java环境下使用,如果您的工具和脚本都支持JKS,建议选择JKS。
PFX是一种通用格式,被Java及其他平台广泛支持。如果需要跨不同技术栈或与非Java系统集成,建议选择PFX格式。
将解压后的证书文件(.pfx或.jks)和密码文件(.txt)上传至服务器,并存放在一个安全的外部目录(
/etc/ssl/cert目录)。重要为确保密钥安全,建议在上传后设置严格的文件权限,只允许Tomcat运行用户读取。
您可以使用远程登录工具的本地文件上传功能来上传文件。例如PuTTY、Xshell或WinSCP等工具。如果您使用的是阿里云云服务器 ECS,关于上传文件的具体操作,请参见上传或下载文件。
步骤二:配置系统与网络环境
确保安全组和防火墙允许外部流量访问。
在服务器终端执行以下命令,检测443端口的开放情况:
RHEL/CentOS
command -v nc > /dev/null 2>&1 || sudo yum install -y nc # 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443如果输出
Ncat: Connected to <当前服务器公网 IP>:443,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。Debian/Ubuntu
command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat # 请将以下的 <当前服务器的公网 IP> 替换为当前服务器的公网 IP sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <当前服务器的公网 IP> 443若输出
Connection to <当前服务器公网 IP> port [tcp/https] succeeded!或[<当前服务器公网 IP>] 443 (https) open,则表明443端口已开放。否则需在安全组和防火墙中开放443端口。在安全组配置开放443端口。
重要若您的服务器部署在云平台,请确保其安全组已开放 443 端口 (TCP),否则外部无法访问服务。以下操作以阿里云 ECS 为例,其他云平台请参考其官方文档。
进入云服务器ECS实例,单击目标实例名称进入实例详情页面,请参考添加安全组规则,在安全组中添加一条授权策略为允许、协议类型为 TCP、目的端口范围为 HTTPS(443)、授权对象为任何位置(0.0.0.0/0)的规则。
在防火墙中开放443端口。
执行以下命令,识别系统当前的防火墙服务类型:
if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then echo "firewalld" elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then echo "ufw" elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then echo "nftables" elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then echo "iptables" elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then echo "iptables" else echo "none" fi若输出为
none,则无需进一步操作。否则,请根据输出的类型(firewalld、ufw、nftables、iptables),执行以下命令开放 443 端口:firewalld
sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reloadufw
sudo ufw allow 443/tcpnftables
sudo nft add table inet filter 2>/dev/null sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/nulliptables
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT为避免 iptables 规则在系统重启后失效,请执行以下命令持久化 iptables 规则:
RHEL/CentOS
sudo yum install -y iptables-services sudo service iptables saveDebian/Ubuntu
sudo apt-get install -y iptables-persistent sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null
步骤三:在Tomcat服务器安装证书
进入Tomcat安装根目录,执行以下命令,打开server.xml文件。
sudo vim ./conf/server.xml按照以下示例以及注释说明配置server.xml。
重要为避免启动Tomcat时出现错误,请在复制代码时删除注释。
Tomcat各版本在配置SSL证书时步骤相似,但因支持的Java版本及配置文件格式有异,所以具体配置稍有不同,下面将分别介绍Tomcat 7、Tomcat 8.5和Tomcat 9这三个版本的配置方法。
Tomcat 9
请参照以下配置流程,配置端口转发、证书文件等。
配置项一:
<!-- 将Connector port修改为80,将redirectPort修改为SSL默认端口443,将HTTP请求转发到443端口。 --> <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" maxParameterCount="1000" />配置项二:
PFX格式Tomcat9配置示例
<!-- 将Tomcat中默认的HTTPS端口修改为443。8443端口不可通过域名直接访问、需要在域名后加上端口号。 --> <!-- 443端口是HTTPS的默认端口,可通过域名直接访问,无需在域名后加端口号。 --> <!-- Connector port有两种运行模式NIO和APR,请选择NIO模式。--> <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" maxParameterCount="1000" > <SSLHostConfig> <!-- conf/domain_name.pfx请您替换为证书的实际路径,证书密码替换为证书密码文件pfx-password.txt中的内容 --> <Certificate certificateKeystoreFile="/etc/ssl/cert/domain_name.pfx" certificateKeystorePassword="证书密码" type="RSA" /> </SSLHostConfig> </Connector>JKS格式Tomcat9配置示例
<!-- 将Tomcat中默认的HTTPS端口修改为443。8443端口不可通过域名直接访问、需要在域名后加上端口号。 --> <!-- 443端口是HTTPS的默认端口,可通过域名直接访问,无需在域名后加端口号。 --> <!-- Connector port有两种运行模式NIO和APR,请选择NIO模式。--> <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" maxParameterCount="1000" > <SSLHostConfig> <!-- conf/domain_name.jks请您替换为证书的实际路径,证书密码替换为证书密码文件pfx-password.txt中的内容 --> <Certificate certificateKeystoreFile="/etc/ssl/cert/domain_name.jks" certificateKeystorePassword="证书密码" type="RSA" /> </SSLHostConfig> </Connector>配置项三:
配置示例(需去掉<!- - 和 - ->注释符):
<!-- 将redirectPort修改为443,让HTTPS请求转发到443端口。 --> <Connector protocol="AJP/1.3" address="::1" port="8009" redirectPort="443" maxParameterCount="1000" />
Tomcat 8.5
手动指定SSL的实现方式(指定使用JSSE实现方式)。
配置示例(需去掉<!- - 和 - ->注释符):
PFX格式Tomcat8.5配置示例
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" maxParameterCount="1000"> <SSLHostConfig> <!-- conf/domain_name.pfx请您替换为证书的实际路径,证书密码替换为证书密码文件pfx-password.txt中的内容 --> <Certificate certificateKeystoreFile="/etc/ssl/cert/domain_name.pfx" certificateKeystorePassword="证书密码" type="RSA"/> </SSLHostConfig> </Connector>JKS格式Tomcat8.5配置示例
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" maxParameterCount="1000"> <SSLHostConfig> <!-- conf/domain_name.jks请您替换为证书的实际路径,证书密码替换为证书密码文件jks-password.txt中的内容 --> <Certificate certificateKeystoreFile="/etc/ssl/cert/domain_name.jks" certificateKeystorePassword="证书密码" type="RSA"/> </SSLHostConfig> </Connector>Tomcat 7
Tomcat服务器自动选择SSL的实现方式。如果按照该方式无法完成后续配置,可能是因为您的环境不支持自动选定的SSL实现方式。
配置示例:
PFX格式Tomcat7配置示例
<!-- #port属性根据实际情况修改(HTTPS默认端口为443)。如果使用其他端口号,则您需要使用https://domain_name:port的方式来访问您的网站。 keystoreFile值需替换为证书的实际路径。 keystorePass值需替换为证书密码文件pfx-password.txt中的内容。 如需了解其他配置项,请前往Tomcat官网查看。--> <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/etc/ssl/cert/domain_name.pfx" keystoreType="PKCS12" keystorePass="证书密码" clientAuth="false" SSLProtocol="TLSv1.1+TLSv1.2+TLSv1.3" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>JKS格式Tomcat7配置示例
<!-- #port属性根据实际情况修改(HTTPS默认端口为443)。如果使用其他端口号,则您需要使用https://domain_name:port的方式来访问您的网站。 keystoreFile值需替换为证书的实际路径。 keystorePass值需替换为证书密码文件jks-password.txt中的内容。 如需了解其他配置项,请前往Tomcat官网查看。--> <Connector port="443" protocol="HTTP/1.1" connectionTimeout="20000" redirectport="8443" maxParameterCount="1000" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/etc/ssl/cert/domain_name.jks" keystoreType="JKS" keystorePass="证书密码" clientAuth="false" SSLProtocol="TLSv1.1+TLSv1.2+TLSv1.3" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>可选:在/conf/web.xml文件,配置HTTP请求自动跳转HTTPS。
进入Tomcat安装根目录,执行以下命令,打开web.xml文件。
sudo vim ./conf/web.xml在web.xml文件最底部添加以下配置项。
<security-constraint> <web-resource-collection> <web-resource-name>SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
进入Tomcat的bin目录,执行以下命令验证配置文件的合法性。若输出
Configuration file test successful表示验证通过。否则需根据提示重新修改配置,直至测试通过。./configtest.sh进入Tomcat的bin目录,执行以下命令,停止并重启Tomcat。
停止命令
sudo ./shutdown.sh重启命令
sudo ./startup.sh
步骤四:验证部署结果
请通过 HTTPS 访问您已绑定证书的域名(如
https://yourdomain.com,yourdomain.com需替换为实际域名)。若浏览器地址栏显示安全锁图标,说明证书已成功部署。如访问异常或未显示安全锁,请先清除浏览器缓存或使用无痕(隐私)模式重试。
Chrome 浏览器自 117 版本起,地址栏中的
已被新的
替代,需单击该图标后查看安全锁信息。
如仍有问题,请参考常见问题进行排查。
应用于生产环境
在生产环境部署时,遵循以下最佳实践可提升安全性、稳定性和可维护性:
使用非管理员权限用户运行:
为应用创建专用的、低权限的系统用户,切勿使用拥有管理员权限的账户运行应用。
说明建议使用网关层配置 SSL的方案,即将证书部署在负载均衡SLB或Nginx等反向代理上,由其终结 HTTPS 流量,再将解密后的 HTTP 流量转发到后端应用。
凭证外部化管理:
切勿将密码等敏感信息硬编码在代码或配置文件中。使用环境变量、Vault 或云服务商提供的密钥管理服务来注入凭证。
启用 HTTP 到 HTTPS 强制跳转:
确保所有通过 HTTP 访问的流量都被自动重定向到 HTTPS,防止中间人攻击。
配置现代 TLS 协议:
在服务器配置中禁用老旧且不安全的协议(如 SSLv3, TLSv1.0, TLSv1.1),仅启用 TLSv1.2 和 TLSv1.3。
证书监控与自动续期:
建议在证书部署完成后,为域名开启域名监控功能。阿里云将自动检测证书有效期,并在证书到期前发送提醒,帮助您及时续期,避免服务中断。具体操作请参见购买并开启公网域名监控。
常见问题
安装或更新证书后,证书未生效或 HTTPS 无法访问
常见原因如下:
域名未完成备案。请参见ICP备案流程。
服务器安全组或防火墙未开放 443 端口。请参见配置系统与网络环境。
证书的绑定域名未包含当前访问的域名。请参见域名匹配。
修改 Tomcat 配置文件后,未重启Tomcat服务。具体操作可参见停止并重启Tomcat服务。
证书文件未正确替换,或 Tomcat 配置未正确指定证书路径。请检查 Tomcat 配置文件和所用证书文件是否为最新且有效。
域名已接入 CDN、SLB 或 WAF 等云产品,但未在相应产品中安装证书。请参阅流量经过多个云产品时证书的部署位置完成相关操作。
当前域名的 DNS 解析指向多台服务器,但证书仅在部分服务器上安装。需分别在每个服务器中安装证书。
如需进一步排查,请参考:根据浏览器错误提示解决证书部署问题 和 SSL证书部署故障自助排查指南。
如何更新(替换)Tomcat 中已安装的 SSL 证书
请先备份服务器上原有的证书文件(.pfx或.jks,以及.txt文件),然后登录数字证书管理服务控制台,下载新的证书文件,并上传到目标服务器覆盖原有文件(确保路径和文件名一致)。最后,重启Tomcat服务,使新证书生效。=
Tomcat启动失败,日志中出现 "Keystore was tampered with, or password was incorrect" 错误
这是比较常见的问题,请参照在Tomcat服务器安装证书部分,并按以下步骤排查:
确认
server.xml中配置的证书密码与密码文件中的内容完全一致,注意不要包含多余的空格或换行符。确认
certificateKeystoreFile(或keystoreFile)的文件路径正确。确认Tomcat运行用户对证书文件有读取权限。
浏览器访问时提示 "连接已重置" 或 "Connection Refused"
通常是网络连接的问题,请参照配置系统与网络环境,并按以下步骤排查:
确认服务器的安全组和系统防火墙都已放行HTTPS端口(443或配置的其他端口)。
确认Tomcat服务正在运行。可使用
ps -ef | grep tomcat命令检查。确认
server.xml中配置的port与访问的端口一致。