服务器环境:windows server 2008 + tomcat7
废话不多说,先看部署效果:
一、免费证书申请
Let's Encrypt 简介:let's Encrypt 是一个免费的开放的非盈利证书颁发机构,截至2018年7月底,Let's Encrypt root(ISRG Root X1)直接受到Microsoft产品的信任。
目前受到所有主要root程序的信任,包括Microsoft,Google,Apple,Mozilla,Oracle和Blackberry。即所有主流操作系统环境及浏览器均已信任该机构颁发的证书。
******************************************************************
根据官方的要求,我们在VPS、服务器上部署Let's Encrypt免费SSL证书之前,需要系统支持Python2.7以上版本以及支持GIT工具。这种方式没有研究过,有兴趣的
小伙伴可以研究下。
这里我们采用LEGainer - windows下Let's Encrypt证书申请工具来申请证书(申请成功的前提是网站能通过域名正常访问,如果还没有搭建好网站,可以先搭建网站,再申请ssl证书)
第一步:工具下载地址:https://pan.baidu.com/s/1BVKwXccF7m2AkDWgWh480A
第二步:解压工具,修改配置
解压文件后打开LEGainer.exe.config 修改配置节点
如下图:
Mail:是你的联系邮箱
Domain:是你要申请证书的域名
WebDir:是你网站的本地目录,LEGainer在申请证书过程中会在此目录生成文件,Let's Encrypt会通过域名访问生成的文件,所以请确保域名正确解析和绑定。
CertificateSaveDir:是证书申请下来后的保存目录。
PFXPassword:是pfx证书的密码。
第三步:在域名所在的主机,运行LEGainer.exe 生成证书;
出现“success!~Enter press any key exit!”字样时,证书就生成成功了。
假设你申请证书的域名为:www.travellight.xyz,那么LEGainer会生成如下几个证书文件:
_certificate.der 是证书文件,der格式
_certificate.pem 是证书pem格式
_csr.pem 是证书签名请求文件
_key.pem 是私钥文件
_pkcs12.pfx 是iis用的存放证书和私钥的文件
_chain.pem 是证书链
第四步:合成tomcat需要的.jks证书
这里我采用在线生成 当然也可以自己用工具生成
在线合成地址:https://www.myssl.cn/tools/merge-jks-cert.html
密钥文件(KEY文件):www.travellight.xyz_key.pem
证书文件(CRT/CER文件):www.travellight.xyz_certificate.pem
合成时需填写JKS密码(一定要记住,tomcat配置中需要填写),合成后会生成JKS文件 我生成的是 travellight.jks
第五步:将travellight.jks 文件拷贝至服务器tomcat conf 目录中,修改tomcat配置
打开 tomcat/conf 目录下server.xml文件修改配置:
(1)一般tomcat7中该段配置默认是注释掉的,去掉注释,按如下添加配置并将默认端口8443改为443(修改原因:实测如果使用8443作为ssl端 口,http[http://www.travellight.xyz]重定向时浏览器网址栏中会在域名后带上8443端口如:https://www.travellight.xyz:8443,
直接用https://www.travellight.xyz无法访问网站,使用443端口则不存在此问题)
(2)修改以下两处重定向端口
第六步: 开启443外网端口
如果不开启443端口,则无法使用https证书功能,我使用的是阿里云服务器ECS,通过管理控制台-安全组规则可开放外网端口,
如果是其他云服务器或自己的路由器请自行搜索开启外网端口方法
第七步: 重启tomcat,浏览器访问网址
前缀自动显示为https.谷歌浏览器地址栏中有个锁的图标
至此完成!!!
**************************************************************
参考内容:
http://www.laozuo.org/7676.html
手机扫一扫
移动阅读更方便
你可能感兴趣的文章