Установка SSL сертификата: Tomcat

Импорт SSL сертификата в хранилище ключей 

1. Для начала нужно конвертировать полученный SSL сертификат в формат PKCS#7, имеющий расширение .p7b. Для этого сохраните Ваш сертификат в исходном формате в директории, где было сохранено хранилище ключей во время генерации CSR запроса. 


2. В консоли сервера запустите команду: openssl crl2pkcs7 -nocrl -certfile certificate.cer -out certificate.p7b -certfile CACert.cer Не забудьте изменить расширение Вашего файла, если оно обозначене не как .cer, а как .crt.


3. Импортируйте SSL сертификат в хранилище ключей Java с помощью следующей команды: keytool -import -alias tomcat -trustcacerts -file cert.p7b -keystore [keystorename]


4. Вы должны получить подтверждение того, что сертификат успешно импортирован (Certificate reply was installed in keystore). 

Если появится запрос, следует ли доверять сертификату, нажмите да (yes или y). Теперь Ваш сертификат готов к использованию на сервере Tomcat, нужно только настроить сервер для этого. 

Конфигурирование SSL коннектора

Для того чтобы сервер поддерживал безопасное соединение, нужно сконфигурировать SSL Connector для Tomcat.

1. Откройте файл Tomcat server.xml в текстовом редакторе. Как правило, этот файл находится в папке conf в директории home Вашего сервера Tomcat.


2. Найдите коннектор, который будет защищен новым сертификатом, измените порт на  443, если там стоит значение 8443.


3. В конфигурации коннектора укажите правильное название файла хранилища ключей [keystorename] и Ваш пароль.



В результате Ваш коннектор должен выглядеть примерно так:

<Connector port="443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keyAlias="server" keystoreFile="/home/user_name/your_site_name.jks" keypass="your_keystore_password" />

Примечание: Если Вы используете Tomcat 7, Вам нужно изменить "keypass" на "keystorePass".

4. Сохраните изменения в файле server.xml file.


5. Перезапустите Tomcat.

Примечание: По умолчанию Tomcat будет обращаться к Вашему хранилищу ключей с названием файла .keystore в директории home с паролем по умолчанию changeit. На системах Unix и Linux данная директория обычно -  /home/user_name/, на системе Microsoft Windows - C:\Documents and Settings\user_name\.