SSL证书 TOMCAT7.0部署

本篇文章介绍如何在TOMCAT7.0上部署SSL证书，主要针对初学者如何在TOMCAT上成功部署并且成功显示出来。本次部署用的是GDCA公司的恒信企业（EV）SSL证书进行举例。

工具/原料

安装JDK&Tomcat

生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK或JRE下的bin目录，运行keytool命令，生成证书请求文件(CSR)

生成证书请求文件

1、安装JDK&Tomcat（仅针对没有安装的用户）安装过程比较简单，采取默认方式安装即可，如有需要可以修改安装的目录。

2、生成keystore文件生成密钥库文件keystore.jks需要使用JDK的keytool工具。命令行进入JDK或JRE下的bin目录，运行keytool命令（示例中粗体部分为可自定义部分，可根据实际配置情况相应修改）。keytool -genkey -alias gdca -keyalg RSA -keysize 2048 -keystore D:\gdca.jks

导入服务器证书

1、由于TOMCAT需要证书格式为JKS文件，所以需要把证书合成JKS格式后方可上传配置。由于不同的证书公司颁发给用户的证书链不一样，有的里面是一张，有的里面是两张，所以用GDCA公司的证书为例，颁发给用户的除了所申请的企业证书外还有一张根证书GDCA_TrustAUTH_R5_ROOT.cer和相应的CA证书，如果您申请的是睿信(OV) SSL证书（Organization Validation SSL Certificate），CA证书文件就是GDCA_TrustAUTH_R4_SSL_CA.cer；如果您申请的是恒信企业EV SSL证书（Extended Validation SSL Certificate），CA证书就是文件就是GDCA_TrustAUTH_R4_Extended_Validation_SSL_CA.cer

2、注意：根证书和业务证书下载时需要观察证书是不是base64编码的证书，如果不是，请把证书改成base64后再进行合成。如下图：

4、导入根证书：导入前将GDCA TrustAUTH R5 ROOT.cer文件改名为ca1.cer，用户可以修改为其他容易记忆的名字。keytool -import -alias ca1 -keystore D:\gdca.jks -trustcacerts -file D:\ca1.cer -noprompt

5、导入CA证书导入前将GDCA TrustAUTH R4 Extended Validation SSL CA.cer或GDCA TrustAUTH R4 SSL CA.cer文件改名为ca2.cer，用户可以修改为其他容易记忆的名字。keytool -import -alias ca2 -keystore D:\gdca.jks -trustcacerts -file D:\ca2.cer -noprompt

7、导入服务器证书时，服务器证书的别名必须和私钥别名一致。证书导入完成，运行keytool -list -keystore D:\gdca.jks，再次查看keystore文件内容

2、默认的SSL访问端口号为443，如果使用其他端口号，则您需要使用https://yourdomain:port的方式来访问您的站点，防火墙要开放相应的port。

3、测试访问：服务器若部署了睿信SSL证书，浏览器访问时将出现安全锁标志；若部署了恒信企业EV SSL证书，浏览器除了显示安全锁标志，地址栏会变成绿色，如下图：