轻松搞定Tomcat上的HTTPS配置与证书申请全流程

第一步：证书申请

自签名证书生成 对于开发环境或内部测试，可以利用Java自带的keytool工具生成自签名证书：

keytool -genkeypair -alias your_alias -keyalg RSA -keystore keystore.jks -storepass changeit -validity 365

上述命令会在当前目录生成一个名为keystore.jks的密钥库文件，其中包含了自签名证书。

从权威CA机构申请证书 对于生产环境，应从受信任的证书颁发机构（CA）申请SSL证书，例如沃通（WoSign）、Let's Encrypt、GlobalSign等。您可以通过以下步骤进行申请：

访问CA机构官网，如沃通SSL证书服务；

提交域名信息和其他必要的验证材料；

完成域名所有权验证（如DNS TXT记录验证或HTTP/HTTPS验证）；

下载获得的证书文件（通常是.crt或.pem格式）以及中间证书链文件（如果有的话）。

第二步：配置Tomcat

导入已获证书 若是从权威CA获取的证书，您可能需要将证书转换为JKS格式并导入到Tomcat的密钥库中。使用keytool进行导入：

keytool -importcert -alias certAlias -file your_certificate.crt -keystore keystore.jks -storepass changeit

编辑Tomcat配置 在Tomcat的conf/server.xml文件中找到Connector配置部分，添加或修改相应的HTTPS连接器配置：

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"    maxThreads="150" scheme="https" secure="true"    clientAuth="false" sslProtocol="TLS"    keystoreFile="/path/to/your/keystore.jks" keystorePass="changeit"    truststoreFile="/path/to/truststore.jks" truststorePass="changeit" />

其中keystoreFile指向您存储证书的密钥库路径，keystorePass为密钥库的密码。

强制HTTPS重定向 若要确保所有HTTP流量都被自动重定向至HTTPS，可以在server.xml中创建一个专门的HTTP Connector，并设置redirectPort属性指向443端口：

<Connector port="8080" protocol="HTTP/1.1"    redirectPort="443" />

第三步：验证与启动

保存server.xml文件后，重新启动Tomcat服务器。

使用HTTPS协议尝试访问您的网站，检查是否显示为绿色锁图标（表示浏览器信任此站点）。

如果出现任何问题，请查阅Tomcat日志以排查错误。