HTTPS（SSL / TLS）免费证书申请及网站证书部署实战总结

陌上烟雨遥

2年前发布

290

服务器环境：windows server 2008 + tomcat7

废话不多说，先看部署效果：

HTTPS（SSL / TLS）免费证书申请及网站证书部署实战总结插图

HTTPS（SSL / TLS）免费证书申请及网站证书部署实战总结插图1

一、免费证书申请

Let's Encrypt 简介：let's Encrypt 是一个免费的开放的非盈利证书颁发机构，截至2018年7月底，Let's Encrypt root（ISRG Root X1）直接受到Microsoft产品的信任。

目前受到所有主要root程序的信任，包括Microsoft，Google，Apple，Mozilla，Oracle和Blackberry。即所有主流操作系统环境及浏览器均已信任该机构颁发的证书。

******************************************************************

根据官方的要求，我们在VPS、服务器上部署Let's Encrypt免费SSL证书之前，需要系统支持Python2.7以上版本以及支持GIT工具。这种方式没有研究过，有兴趣的

小伙伴可以研究下。

这里我们采用LEGainer – windows下Let's Encrypt证书申请工具来申请证书（申请成功的前提是网站能通过域名正常访问，如果还没有搭建好网站，可以先搭建网站，再申请ssl证书）

第一步：工具下载地址：https://pan.baidu.com/s/1BVKwXccF7m2AkDWgWh480A

第二步：解压工具，修改配置

解压文件后打开LEGainer.exe.config 修改配置节点

如下图：

HTTPS（SSL / TLS）免费证书申请及网站证书部署实战总结插图2

Mail：是你的联系邮箱

Domain：是你要申请证书的域名

WebDir：是你网站的本地目录，LEGainer在申请证书过程中会在此目录生成文件，Let's Encrypt会通过域名访问生成的文件，所以请确保域名正确解析和绑定。

CertificateSaveDir：是证书申请下来后的保存目录。

PFXPassword：是pfx证书的密码。

第三步：在域名所在的主机，运行LEGainer.exe 生成证书；

出现“success!~Enter press any key exit!”字样时，证书就生成成功了。

假设你申请证书的域名为：www.travellight.xyz，那么LEGainer会生成如下几个证书文件：

HTTPS（SSL / TLS）免费证书申请及网站证书部署实战总结插图3

_certificate.der 是证书文件，der格式

_certificate.pem 是证书pem格式

_csr.pem 是证书签名请求文件

_key.pem 是私钥文件

_pkcs12.pfx 是iis用的存放证书和私钥的文件

_chain.pem 是证书链

第四步：合成tomcat需要的.jks证书

这里我采用在线生成当然也可以自己用工具生成

在线合成地址：https://www.myssl.cn/tools/merge-jks-cert.html

密钥文件(KEY文件)：www.travellight.xyz_key.pem

证书文件(CRT/CER文件):www.travellight.xyz_certificate.pem
合成时需填写JKS密码（一定要记住，tomcat配置中需要填写），合成后会生成JKS文件我生成的是 travellight.jks

第五步：将travellight.jks 文件拷贝至服务器tomcat conf 目录中，修改tomcat配置

打开 tomcat/conf 目录下server.xml文件修改配置：

（1）一般tomcat7中该段配置默认是注释掉的，去掉注释，按如下添加配置并将默认端口8443改为443（修改原因：实测如果使用8443作为ssl端口,http[http://www.travellight.xyz]重定向时浏览器网址栏中会在域名后带上8443端口如：https://www.travellight.xyz:8443,

直接用https://www.travellight.xyz无法访问网站，使用443端口则不存在此问题）

HTTPS（SSL / TLS）免费证书申请及网站证书部署实战总结插图4

（2）修改以下两处重定向端口

HTTPS（SSL / TLS）免费证书申请及网站证书部署实战总结插图6

第六步：开启443外网端口

如果不开启443端口，则无法使用https证书功能，我使用的是阿里云服务器ECS，通过管理控制台-安全组规则可开放外网端口，

如果是其他云服务器或自己的路由器请自行搜索开启外网端口方法

HTTPS（SSL / TLS）免费证书申请及网站证书部署实战总结插图7

第七步：重启tomcat,浏览器访问网址

前缀自动显示为https.谷歌浏览器地址栏中有个锁的图标

至此完成！！！

**************************************************************

参考内容：

https://letsencrypt.org/

实战申请Let’s Encrypt永久免费SSL证书过程教程及常见问题

https://www.cnblogs.com/asminfo/p/6801558.html

https://blog.csdn.net/l_ai_yi/article/details/81671946

原文链接：https://blog.csdn.net/ahilll/article/details/83377991

© 版权声明

声明📢本站内容均来自互联网，归原创作者所有，如有侵权必删除。本站文章皆由CC-4.0协议发布，如无来源则为原创，转载请注明出处。

THE END

陌上云
# https # ssl安全证书 # tls

喜欢就支持一下吧

相关推荐