1、SSL證書(shū)下(xià)載

證書(shū)成功頒發後，登陸www.bchost.cn->業務管理->SSL證書(shū)服務, 查詢->下(xià)載證書(shū)。

2、防火(huǒ)牆端口開(kāi)放(fàng)說明

(1) https默認端口爲443。根據實際需求，您可以選擇其他端口，Tomcat配置、防火(huǒ)牆等請同步修改。

(2) 如果您使用的是雲服務器，請登錄雲平台系統，安全組增加TCP-443 端口的入站規則。

(3) 如果windows防火(huǒ)牆有啓用，增加開(kāi)放(fàng)TCP-443 端口的入站規則。

3、備份配置文件

進入Tomcat目錄/conf，備份如下(xià)文件：web.xml、server.xml。

4、上傳jks證書(shū)到tomcat目錄/conf下(xià)

5、配置方式一(yī)(Tomcat 5-7推薦)：

(1) 本方式，1個端口隻能配置1個證書(shū)，同一(yī)端口如要配置多個證書(shū)請您升級Tomcat版本到8+後采用方式二配置。

(2) 支持版本：Tomcat5、Tomcat6、Tomcat7、Tomcat8、Tomcat9，其中(zhōng)

Tomcat5、Tomcat6、Tomcat7隻能用本方式，如要支持部署多個證書(shū)，不同站點必須監聽(tīng)不同端口；或者升級到Tomcat8+；

Tomcat8、Tomcat9版本可采用本方式配置，但是推薦使用方式二配置；

(3) server.xml配置說明：

打開(kāi)server.xml，找出port="443"的配置段，替換爲如下(xià)配置(以下(xià)配置了支持HTTPS的二個端口443、8443)：

 443" protocol="org.apache.coyote.http11.Http11NioProtocol"

SSLEnabled="true" maxThreads="300" scheme="https" secure="true"  

clientAuth="false" sslProtocol="TLS"

keystoreFile="conf/bchost.cn.jks" keystorePass="Yw6F2t5eG4" keyAlias="www.bchost.cn"/>

8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

SSLEnabled="true" maxThreads="300" scheme="https" secure="true"  

clientAuth="false" sslProtocol="TLS"

keystoreFile="conf/114.com.cn.jks" keystorePass="Yw6F2t5eG4" keyAlias="*.114.com.cn"/>

# 藍(lán)色配置項說明

port：監聽(tīng)端口，推薦使用HTTPS的默認端口443。

protocol，協議，請根據您的Tomcat版本設置：

Tomcat5：隻支持Http11Protocol

Tomcat6、Tomcat7：Http11Protocol、Http11NioProtocol 二選一(yī)

Tomcat8+：隻支持Http11NioProtocol

keystoreFile：JKS證書(shū)文件，請注意路徑要和實際文件一(yī)緻。

keystorePass：JSK證書(shū)密碼，請從證書(shū)包的使用說明.txt複制。

keyAlias：證書(shū)别名，請設置爲您的證書(shū)域名。如果是通配符域名證書(shū)需要設置爲*.域名，例如*.bchost.com。

6、配置方式二(Tomcat8+推薦)：

(1) 本方式，同一(yī)端口支持部署多個SSL證書(shū)。Tomcat8+版本，推薦本方式部署。

(2) 支持版本：Tomcat8、Tomcat9、Tomcat10、...

(3) 配置段說明：

打開(kāi)server.xml，找出port="443"的配置段，替換爲如下(xià)配置(以下(xià)配置了支持HTTPS的二個證書(shū))：

443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true" defaultSSLHostConfigName="*.bchost.cn">

*.bchost.cn">

conf/bchost.cn.jks"             

certificateKeystorePassword="Yw6F2t5eG4"

certificateKeyAlias="*.bchost.cn" type="RSA" />

conf/114.com.cn.jks"               

certificateKeystorePassword="Yw6F2t5eG4"

certificateKeyAlias="*.114.com.cn" type="RSA" />

# 藍(lán)色配置項說明

port：監聽(tīng)端口，推薦使用HTTPS的默認端口443。

defaultSSLHostConfigName：必須配置，設置爲默認使用的證書(shū)域名(certificateKeyAlias之一(yī))。

certificateKeystoreFile：JKS證書(shū)文件，請注意路徑要和實際文件一(yī)緻。

certificateKeystorePassword：JSK證書(shū)密碼，請從證書(shū)包的使用說明.txt複制。

certificateKeyAlias：證書(shū)别名，請設置爲您的證書(shū)域名。如果是通配符域名證書(shū)需要設置爲*.域名，例如*.bchost.com。

7、啓動/重啓Apache

(1) 請注意查看logs/catalina.out日志(zhì)，觀察是否啓動成功。

(2) 浏覽器輸入https://域名 訪問測試網站。

8、http自動跳轉https配置

(1) 配置自動跳轉前，請先用https訪問您的網站，确認網站正常顯示。

(2) 編輯server.xml：

8443" />

藍(lán)色部分(fēn)8443修改爲443，修改後：

     connectionTimeout="20000" redirectPort="443" />

8443" />

藍(lán)色部分(fēn)8443修改爲443，修改後如圖所示：

443" />

(3) 編輯web.xml

搜索節點，後面加上這段配置：

        CLIENT-CERT

        Client Cert Users-only Area

            SSL

            /*

            CONFIDENTIAL

(4) 重啓Tomcat服務，輸入http://域名，觀察是否自動跳轉到https://域名。