一、操作场景
本文档指导您如何在 Tomcat 服务器中安装 JKS 格式的 SSL 证书。

前提条件
已准备远程登录工具，例如 PuTTY 或者 Xshell（建议从官方网站获取最新版本）。
已在当前服务器中安装配置 Tomcat 服务。

安装 SSL 证书前需准备的数据如下：(需要有网站服务器登陆权限)

二、操作步骤
1.下载获取证书
证书下载类型选择 Tomcat，保存证书文件包到本地目录。 解压缩后，可获得相关类型的证书文件。
   test.com.jks     jks格式证书文件  
   Readme.txt       私钥密码文件

2.部署证书
① 使用 Xshell登录 Tomcat 服务器。将已获取到的 test.com.jks 证书文件上传到服务器合适目录保存。
② 编辑在Tomcat/conf 目录下的 server.xml 文件。开启配置如下内容：

   <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
      maxThreads="150" scheme="https" secure="true"
   #test.com,jks证书保存的路径
      keystoreFile="test.com.jks" 
   #jks证书密码，readme.txt中密码
      keystorePass="******"
      clientAuth="false"/>

配置文件的主要参数说明如下：
   --keystoreFile：密钥库文件的存放位置，可以指定绝对路径，也可以指定相对于 <CATALINA_HOME> （Tomcat 安装目录）环境变量的相对路径。如果此项没有设定，默认情况下，Tomcat 将从当前操作系统用户的用户目录下读取名为 “.keystore” 的文件。
   --keystorePass：密钥库密码，指定 keystore 的密码。申请证书时若设置了私钥密码，请填写私钥密码；若申请证书时未设置私钥密码，请填写 Tomcat 文件夹中 keystorePass.txt 文件的密码。
   --clientAuth：如果设为 true，表示 Tomcat 要求所有的 SSL 客户出示安全证书，对 SSL 客户进行身份验证，一般不修改，不配置开启。

详细 server.xml 文件请参考如下内容：

注意：不建议您直接复制 server.xml 文件内容，避免格式有误，直接启用对应配置参数。

    <?xml version="1.0" encoding="UTF-8"?>
    <Server port="8005" shutdown="SHUTDOWN">
       <Listener className="org.apache.catalina.startup.VersionLoggerListener" />
       <Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />
       <Listener className="org.apache.catalina.core.JreMemoryLeakPreventionListener" />
       <Listener className="org.apache.catalina.mbeans.GlobalResourcesLifecycleListener" />
       <Listener className="org.apache.catalina.core.ThreadLocalLeakPreventionListener" />
    <GlobalNamingResources>
       <Resource name="UserDatabase" auth="Container"
                 type="org.apache.catalina.UserDatabase"
                 description="User database that can be updated and saved"
                 factory="org.apache.catalina.users.MemoryUserDatabaseFactory"
                 pathname="conf/tomcat-users.xml" />
    </GlobalNamingResources>
      <Service name="Catalina">
           <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000"  redirectPort="8443" />
           <Connector port="443" protocol="HTTP/1.1"
                  maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
                  clientAuth="false"
                   keystoreFile="Tomcat 安装目录/conf/cloud.tencent.com.jks"
                   keystorePass="******" />
           <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
       <Engine name="Catalina" defaultHost="cloud.tencent.com">
           <Realm className="org.apache.catalina.realm.LockOutRealm">
           <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                  resourceName="UserDatabase"/>
           </Realm>
        <Host name="cloud.tencent.com"  appBase="webapps" 
           unpackWARs="true" autoDeploy="true" >
           <Context path="" docBase ="Knews" />
           <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
              prefix="localhost_access_log" suffix=".txt"  
              pattern="%h %l %u %t &quot;%r&quot; %s %b" />
         </Host>
       </Engine>
     </Service>
   </Server>

③ 检查配置，执行以下命令，确认配置是否存在问题。若存在，请您重新配置或者根据提示修改存在问题。若不存在，请执行下一步。
   ./configtest.sh

④ 在 Tomcat 安装目录 bin 目录下（例如：/Tomcat/bin）依次执行以下命令，重启服务。
   ./shutdown.sh (关闭 Tomcat 服务)
   ./startup.sh (启动 Tomcat 服务)

⑤ 若启动成功，即可使用 https://yourdomain 进行访问（以实际网站地址访问）;如果浏览器地址栏显示安全标识，则说明证书安装成功。如下图所示：
 



附：HTTP 自动跳转 HTTPS 的安全配置（可选）
如果您需要将 HTTP 请求自动重定向到 HTTPS，您可以通过以下操作设置：
1. 编辑 Tomcat 安装目录 conf 目录下（例如：/Tomcat/conf）的 web.xml 文件，并找到 </welcome-file-list> 标签。

2. 请在结束标签 </welcome-file-list> 后面换行，并添加以下内容：

   <login-config>
    <!-- Authorization setting for SSL -->
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>Client Cert Users-only Area</realm-name>
   </login-config>
   <security-constraint>
   <!-- Authorization setting for SSL -->
   <web-resource-collection>
      <web-resource-name>SSL</web-resource-name>
      <url-pattern>/*</url-pattern>
   </web-resource-collection>
   <user-data-constraint>
      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
   </user-data-constraint>

   </security-constraint>

3. 编辑 Tomcat 安装目录 conf 目录下（例如：/Tomcat/conf）的 server.xml 文件，将 redirectPort 参数修改为 SSL 的 connector 的端口，即443端口。如下所示：

   <Connector port="80" protocol="HTTP/1.1"
      connectionTimeout="20000"

      redirectPort="443" />

说明：此修改操作可将非 SSL 的 connector 跳转到 SSL 的 connector 中。

4. 执行以下命令，确认配置是否存在问题。

   ./configtest.sh

若存在，请您重新配置或者根据提示修改存在问题。若不存在，请执行下一步。

5.  在 Tomcat 安装目录 /bin 目录下（例如：/Tomcat/bin）执行以下命令，关闭 Tomcat 服务后重新启动。
   ./shutdown.sh
   ./startup.sh

启动成功，即可使用 https://yourdomain 进行访问（以实际网站地址访问）;如果浏览器地址栏显示安全标识，则说明证书安装成功。如下图所示：