在Tomcat服务器安装SSL证书（Windows）-阿里云帮助中心

网站使用未加密的HTTP协议时，用户数据在传输过程中容易被窃取，浏览器也会提示“不安全”，影响用户信任和业务安全。通过在Windows Tomcat服务器上部署SSL证书，可以启用HTTPS加密通信。本文介绍如何在Windows系统上的Tomcat服务器部署SSL证书，以及安装后HTTPS效果验证等步骤。

重要

如有问题，请联系产品技术专家进行咨询，详情请参见专家一对一服务。

适用范围

开始配置前，确保满足以下条件：

证书状态：已拥有由权威机构签发的 SSL 证书。若证书即将过期或已过期，请先续费SSL证书。
域名匹配：确保证书能够匹配所有需保护的域名。如需添加或修改域名，可根据需求购买正式证书或追加和更换域名。
- 精确域名：仅对指定域名生效。
  - example.com 仅对 example.com 生效。
  - www.example.com 仅对 www.example.com 生效。
- 通配符域名：仅对其一级子域名生效。
  - *.example.com 对 www.example.com、a.example.com 等一级子域名生效。
  - *.example.com 对根域名 example.com 和多级子域名 a.b.example.com 不生效。
说明
如需匹配多级子域名，绑定域名中需包含该域名（如 a.b.example.com），或包含相应的通配符域名（如 *.b.example.com）。
服务器权限：需要使用 Administrator 账户或一个具有管理员权限的账户。
域名备案与解析：
- ICP 备案：域名已完成工信部 ICP 备案（仅适用于中国内地服务器）。
- 域名解析：域名已通过 A 记录解析至服务器的公网 IP。
说明
可访问网络诊断分析工具，输入域名，检查 DNS 服务商解析结果和备案检查项，确保满足要求。
环境依赖：本文以Windows Server 2025操作系统、Tomcat-9.0.105版本为例介绍。本文中Apache的示例安装目录为C:\apache-tomcat-9.0.105。
说明
不同版本的操作系统或Web服务器，部署操作可能有所差异。

操作步骤

步骤一：准备SSL证书

进入SSL证书管理页面，在目标证书操作列单击更多进入证书详情页面，然后在下载页签中下载服务器类型为Tomcat的证书。
解压下载的证书压缩包，解压后包含一个证书文件（.pfx或.jks）和证书密码文件（.txt）。
说明
若申请证书时使用 OpenSSL、Keytool 等工具生成 CSR 文件，私钥文件仅保存在您本地，下载的证书包中不包含私钥。如私钥遗失，证书将无法使用，需重新购买正式证书并生成CSR和私钥。
将证书文件和私钥文件上传至服务器，并存放在一个安全的外部目录（本文示例路径为D:\cert）。
说明
以下操作以阿里云 ECS 为例，其它类型的服务器请参考其官方文档。
1. 访问ECS控制台-实例。在页面左侧顶部，选择目标资源所在的资源组和地域。
2. 进入目标实例详情页，单击远程连接，选择通过Workbench远程连接。根据页面提示登录，进入服务器桌面。
3. 单击服务器左下角开始菜单，查找并打开名为此电脑、计算机或文件资源管理器的选项。
4. 双击重定向的驱动程序和文件夹下的***上的workbench，从本地拖动证书文件至该目录，然后右键刷新文件夹。
5. 将目标文件复制到D:\cert目录。
  重要
  重新连接、退出实例时，Workbench会自动清除该实例重定向的驱动程序和文件夹中已上传的所有文件信息以节省空间，该目录仅用于文件传输，请不要保存文件。

步骤二：配置系统与网络环境

开放安全组的 443 端口。
重要
若您的服务器部署在云平台，请确保其安全组已开放入方向 443 端口 (TCP)，否则外部无法访问服务。以下操作以阿里云 ECS 为例，其他云平台请参考其官方文档。
1. 进入云服务器ECS实例页面，选择目标 ECS 实例所在地域，单击目标实例名称，进入实例详情页。
2. 单击安全组 > 内网入方向全部规则，确保存在一条授权策略为允许、协议类型为 TCP、目的端口范围为 HTTPS(443)、授权对象为任何位置(0.0.0.0/0)的规则。
3. 如不存在上述规则，请参照添加安全组规则在目标安全组中添加相应规则。
开放服务器防火墙的443端口。
1. 登录Windows服务器，单击左下角开始菜单，打开控制面板。
2. 点击系统和安全 > Windows防火墙 > 检查防火墙状态。
3. 如果防火墙处于如下图的关闭状态，无需额外操作。
4. 如果防火墙已开启，请参考以下步骤放行HTTPS规则。
  1. 单击左侧高级设置 > 入站规则，检查是否存在协议为TCP，本地端口为443，操作为阻止的入站规则。
  2. 若存在此类规则，需要右键单击相应规则并选择属性，在常规页签，将其修改为允许连接并应用。
  3. 更多防火墙配置，请参见配置防火墙规则。

步骤三：在Tomcat服务器部署证书

编辑Tomcat配置文件server.xml，修改与证书相关的配置（示例路径为C:\apache-tomcat-9.0.105\conf\server.xml）。

PFX格式Tomcat9.0配置示例

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true"
           maxParameterCount="1000">
    <SSLHostConfig>
        <!-- conf/example.com.pfx请您替换为证书的实际路径，证书密码替换为证书密码文件pfx-password.txt中的内容 -->
        <Certificate certificateKeystoreFile="D:/cert/example.com.pfx"
                     certificateKeystorePassword="证书密码" type="RSA"/>
    </SSLHostConfig>
</Connector>

JKS格式Tomcat9.0配置示例

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true"
           maxParameterCount="1000">
    <SSLHostConfig>
        <!-- 请将conf/example.com.jks替换为证书的实际路径，证书密码替换为证书密码文件jks-password.txt中的内容 -->
        <Certificate certificateKeystoreFile="D:/cert/example.com.jks"
                     certificateKeystorePassword="证书密码" type="RSA" />
    </SSLHostConfig>
</Connector>

可选：设置HTTP请求自动跳转到HTTPS。

编辑Tomcat配置文件server.xml，找到HTTP连接器（Tomcat通常默认监听8080端口），并修改redirectPort属性（如果没有请添加）。

<!-- Tomcat默认监听8080端口，请修改为您实际监听的HTTP端口。 -->
<Connector port="80" protocol="HTTP/1.1"
           connectionTimeout="20000"
           redirectPort="443"
           maxParameterCount="1000"
           />

在web.xml文件末尾添加以下配置项。

<security-constraint>
    <web-resource-collection>
        <web-resource-name>SSL</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

说明

以上配置修改完成后，即可将HTTP请求强制转发到HTTPS。

确认以上配置修改完成并保存后，进入Tomcat安装目录下的bin目录，重启服务器，以使SSL相关配置生效。
- 停止Tomcat服务器。
```
shutdown.bat
```
- 启动Tomcat服务器。
```
startup.bat
```

步骤四：验证部署结果

请通过 HTTPS 访问您已绑定证书的域名（如 https://yourdomain.com，yourdomain.com 需替换为实际域名）。
若浏览器地址栏显示安全锁图标，说明证书已成功部署。如访问异常或未显示安全锁，请先清除浏览器缓存或使用无痕（隐私）模式重试。
Chrome 浏览器自 117 版本起，地址栏中的已被新的替代，需单击该图标后查看安全锁信息。

说明

如仍有问题，请参考常见问题进行排查。

应用于生产环境

在生产环境部署时，遵循以下最佳实践可提升安全性、稳定性和可维护性：

使用非管理员权限用户运行：
为应用创建专用的、低权限的系统用户，切勿使用拥有管理员权限的账户运行应用。
说明
建议使用网关层配置 SSL的方案，即将证书部署在负载均衡SLB或Nginx等反向代理上，由其终结 HTTPS 流量，再将解密后的 HTTP 流量转发到后端应用。
凭证外部化管理：
切勿将密码等敏感信息硬编码在代码或配置文件中。使用环境变量、Vault 或云服务商提供的密钥管理服务来注入凭证。
启用 HTTP 到 HTTPS 强制跳转：
确保所有通过 HTTP 访问的流量都被自动重定向到 HTTPS，防止中间人攻击。
配置现代 TLS 协议：
在服务器配置中禁用老旧且不安全的协议（如 SSLv3, TLSv1.0, TLSv1.1），仅启用 TLSv1.2 和 TLSv1.3。
证书监控与自动续期：
建议在证书部署完成后，为域名开启域名监控功能。阿里云将自动检测证书有效期，并在证书到期前发送提醒，帮助您及时续期，避免服务中断。具体操作请参见购买并开启公网域名监控。

常见问题

安装或更新证书后，证书未生效或 HTTPS 无法访问

常见原因如下：

域名未完成备案。请参见ICP备案流程。
服务器安全组或防火墙未开放 443 端口。请参见配置系统与网络环境。
证书的绑定域名未包含当前访问的域名。请参见域名匹配。
修改 Tomcat 配置文件后，未重启Tomcat服务。具体操作可参见停止并重启Tomcat服务。
证书文件未正确替换，或 Tomcat 配置未正确指定证书路径。请检查 Tomcat 配置文件和所用证书文件是否为最新且有效。
域名已接入 CDN、SLB 或 WAF 等云产品，但未在相应产品中安装证书。请参阅流量经过多个云产品时证书的部署位置完成相关操作。
当前域名的 DNS 解析指向多台服务器，但证书仅在部分服务器上安装。需分别在每个服务器中安装证书。

说明

如需进一步排查，请参考：根据浏览器错误提示解决证书部署问题和 SSL证书部署故障自助排查指南。

如何更新（替换）Tomcat 中已安装的 SSL 证书

请先备份服务器上原有的证书文件（.pfx或.jks，以及.txt文件），然后登录数字证书管理服务控制台，下载新的证书文件，并上传到目标服务器覆盖原有文件（确保路径和文件名一致）。最后，重启Tomcat服务，使新证书生效。

重启 Tomcat 后，服务无法启动，日志（`catalina.log`）中出现 `LifecycleException` 或 `Keystore was tampered with, or password was incorrect` 错误。

此问题通常由以下原因导致：

密码错误：
server.xml 中填写的 certificateKeystorePassword 与实际证书密码不符。需仔细核对，注意区分大小写。
证书路径错误：
certificateKeystoreFile 指定的路径不正确，Tomcat 找不到证书文件。需确认路径拼写无误，并建议使用相对于 conf/ 的路径。
证书格式类型错误：
certificateKeystoreType 与实际证书文件格式不匹配。PFX 文件应使用 PKCS12，JKS 文件应使用 JKS。
密码包含特殊字符：
密码包含 &, <, > 等 XML 特殊字符，但未在 server.xml 中进行转义。

如何让 HTTP 自动跳转到 HTTPS？

请参照设置HTTP请求自动跳转到HTTPS部分，修改相应的配置文件后，重启服务即可。