Tomcat

Tomcat 配置 SSL 证书指南

在 Apache Tomcat 服务器上配置 SSL/TLS 证书是实现 HTTPS 加密通信的关键步骤。以下是针对 Tomcat 环境的通用配置说明和常见问题解决方案。

一、配置文件定位与修改

配置前，需找到 Tomcat 的主配置文件 server.xml，通常位于 /tomcat/conf/ 目录下。若路径不确定，可在 Linux 系统中使用命令：

find / -name server.xml

在 server.xml 中查找被注释的 HTTPS 连接器配置段：

<!--
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NiProtocol"
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateFile="conf/domain.jks"
type="RSA" />
</SSLHostConfig>
</Connector>
-->

移除注释标记，并根据实际环境修改为以下内容：

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="\Tomcat 9.0\conf\domain.jks"
certificateKeyAlias="domain.com"
certificateKeystorePassword="123456"
type="RSA" />
</SSLHostConfig>
</Connector>

• port="443"：HTTPS 默认端口，可按需调整（如 8443）
• certificateKeystoreFile：指向 JKS 格式证书文件的完整路径
• certificateKeyAlias：密钥库中的别名，导入时指定
• certificateKeystorePassword：JKS 文件的访问密码

保存后，重启 Tomcat 服务以应用更改。

二、常见问题：JKS 和 password.txt 文件为空

部分用户在申请免费 SSL 证书后，发现下载包中的 .jks 文件或 password.txt 内容为空。这是因为大多数免费证书服务仅提供 PEM 或 CRT 格式的证书文件，不直接生成 Java KeyStore (JKS) 文件。

解决方法如下：

1. 确认已有文件：确保您已获得以下两个文件：
   • 服务器证书（如 certificate.crt）
   • 私钥文件（如 private.key）
2. 使用 OpenSSL 转换为 PKCS12 格式：

openssl pkcs12 -export -in certificate.crt -inkey private.key -out temp.p12 -name tomcat -passout pass:changeit

3. 使用 keytool 导入为 JKS 格式：

keytool -importkeystore -srckeystore temp.p12 -srcstoretype PKCS12 -srcstorepass changeit -destkeystore server.jks -deststorepass changeit -alias tomcat

4. 创建密码文件：将密码写入 keystorePass.txt，供 Tomcat 读取（注意权限安全）。

三、推荐 SSL 证书产品

为满足不同业务场景需求，以下是适用于 Tomcat 部署的主流 SSL 证书推荐：

参考资料

• Tomcat9安装SSL证书方法
• Apache配置SSL证书方法
• 免费SSL证书问题：Tomcat目录jks及password.txt内容为空怎么办？