CentOS下Tomcat如何配置SSL证书才能成功启用HTTPS？

在当今的互联网环境中,网站的安全性至关重要，启用SSL/TLS加密，通过HTTPS协议传输数据，不仅能保护用户数据不被窃听或篡改，还能提升用户信任度和搜索引擎排名，本文将详细介绍如何在CentOS系统上为流行的Java Web服务器Tomcat配置SSL证书，实现HTTPS安全访问。

第一步：获取SSL证书

配置SSL的首要前提是拥有一个SSL证书,根据您的需求和预算，有三种主要途径可以获取证书：

• 商业证书颁发机构（CA）：如Sectigo、DigiCert、GlobalSign等，这类证书受所有浏览器和操作系统的信任，适合商业网站和企业级应用，您需要向这些机构购买，并完成域名所有权验证。

• Let’s Encrypt：一个免费、自动化且开放的证书颁发机构，它提供有效的域名验证型（DV）证书，非常适合个人项目、博客或中小型网站，可以使用certbot等工具在服务器上自动申请和续期。

• 自签名证书：由自己生成的证书，不受到任何受信任的CA的签名，浏览器会显示“不安全”警告，仅适用于开发、测试或内部系统环境，可以使用Java自带的keytool工具快速生成。

对于开发和测试环境,可以使用以下命令快速生成一个自签名证书（JKS格式）：

keytool -genkeypair -alias tomcat -keyalg RSA -keysize 2048 -keystore /path/to/your/tomcat.keystore -validity 365 -dname "CN=localhost, OU=IT, O=MyCompany, L=MyCity, ST=MyState, C=CN"

执行后会提示您设置密钥库密码。

第二步：准备证书文件

Tomcat通常使用Java密钥库（JKS）或PKCS12（.p12/.pfx）格式的密钥库文件，如果您从CA或Let’s Encrypt获取的证书文件通常是.crt（或.pem）和.key格式，需要将它们转换为Tomcat可用的格式，PKCS12是更现代、更通用的标准，推荐使用。

假设您有以下文件：

• your_domain.crt：您的域名证书。
• your_domain.key：您的私钥。

可以使用openssl工具将它们合并为一个PKCS12文件：

openssl pkcs12 -export -in your_domain.crt -inkey your_domain.key -out tomcat.p12 -name tomcat -CAfile ca_bundle.crt -caname root

• -export：指定导出PKCS12格式。
• -in：指定证书文件。
• -inkey：指定私钥文件。
• -out：指定输出的PKCS12文件名。
• -name：指定在密钥库中的别名，后续配置会用到。
• -CAfile：指定中间证书链文件（如果CA提供）。
• -caname：指定CA证书的别名。

执行后,系统会提示您输入导出密码，请务必记住这个密码。

证书文件说明表

文件扩展名	描述	用途
.key	私钥文件	必须保密，用于解密和签名
.crt / .cer	公钥证书文件	包含公钥和身份信息，可公开
.pem	Base64编码的证书文件	可以包含私钥、公钥或证书链
.p12 / .pfx	PKCS#12格式的密钥库	可包含私钥、证书和证书链，受密码保护
.jks	Java密钥库格式	Java特有的格式，受密码保护

第三步：配置Tomcat的server.xml

证书准备就绪后,接下来就是修改Tomcat的核心配置文件server.xml，该文件通常位于Tomcat安装目录的conf文件夹下。

1. 备份原始文件：在进行任何修改前，建议先备份server.xml。

   cp /path/to/tomcat/conf/server.xml /path/to/tomcat/conf/server.xml.bak

2. 修改Connector配置：打开server.xml文件，找到<Service>标签下的<Connector>元素，通常会有一个用于HTTP的8080端口的Connector，我们需要添加一个新的Connector用于HTTPS。

   找到类似下面这行（可能被注释掉）：

   <!-- <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
              maxThreads="150" scheme="https" secure="true"
              clientAuth="false" sslProtocol="TLS" /> -->

   将其替换或修改为以下配置（以PKCS12格式为例）：

   <Connector port="8443"
              protocol="org.apache.coyote.http11.Http11NioProtocol"
              maxThreads="150"
              SSLEnabled="true"
              scheme="https"
              secure="true"
              keystoreFile="/path/to/your/tomcat.p12"
              keystorePass="your_export_password"
              keystoreType="PKCS12"
              clientAuth="false"
              sslProtocol="TLS"
              sslEnabledProtocols="TLSv1.2,TLSv1.3"
              ciphers="TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"/>

   关键配置项解释：

   • port="8443"：HTTPS服务的监听端口，可以自定义。
   • protocol：推荐使用Http11NioProtocol，它有更好的性能和并发处理能力。
   • SSLEnabled="true"：启用SSL支持。
   • keystoreFile：指定您在第二步中创建的密钥库文件的绝对路径。
   • keystorePass：指定创建PKCS12文件时设置的导出密码。
   • keystoreType="PKCS12"：明确指定密钥库类型为PKCS12，如果使用JKS文件，则为JKS。
   • clientAuth="false"：表示不需要验证客户端证书（单向SSL），如果设置为true，则为双向SSL，需要客户端也提供证书。
   • sslEnabledProtocols：明确指定启用的TLS协议版本，禁用不安全的旧版本（如SSLv2, SSLv3, TLSv1.0, TLSv1.1）。

第四步：重启Tomcat并验证

保存server.xml文件后，重启Tomcat服务使配置生效。

如果您使用systemd管理Tomcat服务：

sudo systemctl restart tomcat

如果使用startup.sh和shutdown.sh脚本：

/path/to/tomcat/bin/shutdown.sh
/path/to/tomcat/bin/startup.sh

重启后,检查Tomcat的日志文件（logs/catalina.out）确保没有与SSL或证书相关的错误。

在浏览器中访问 https://your-domain.com:8443，如果配置成功，您应该能看到浏览器地址栏的锁形图标，表示连接已安全加密。

第五步（可选）：强制HTTP跳转到HTTPS

为了确保所有流量都通过加密的HTTPS连接,可以配置Tomcat将所有HTTP请求重定向到HTTPS，这需要在您的Web应用WEB-INF/web.xml文件中添加一个安全约束配置。

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Entire Application</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

添加此配置后,当用户尝试通过HTTP（如8080端口）访问应用时，Tomcat会自动将其重定向到对应的HTTPS端口（如8443）。

---

相关问答FAQs

解答：您可以使用openssl命令行工具来完成转换，确保您的系统已安装openssl，然后执行以下命令：

openssl pkcs12 -export -in your_domain.crt -inkey your_domain.key -out tomcat.p12 -name tomcat

执行后,系统会提示您输入一个导出密码，这个密码就是您在Tomcat的server.xml中keystorePass属性需要配置的值，命令执行成功后，会生成一个名为tomcat.p12的文件，这就是Tomcat可以使用的PKCS12密钥库，如果您的证书包含了中间证书链，请使用-CAfile参数指定中间证书文件。

问题2：配置完成后，Tomcat启动失败，日志中提示“Keystore was tampered with, or password was incorrect”错误，该如何解决？
解答：这个错误非常明确，通常由以下两个原因导致：

1. 密码错误：您在server.xml的keystorePass属性中填写的密码与创建密钥库文件（JKS或P12）时设置的密码不一致，请仔细核对密码，确保完全匹配，注意大小写。
2. 密钥库文件损坏或路径错误：请检查keystoreFile属性指定的路径是否正确，Tomcat进程是否有权限读取该文件，如果路径正确但仍有问题，可能是文件在传输或生成过程中损坏，可以尝试重新生成或转换密钥库文件，如果您使用的是从旧版本Tomcat或JDK迁移过来的JKS文件，也可能存在兼容性问题，尝试重新用当前环境的keytool生成可以解决。