峰峦@叠嶂 2025-07-17 10:47 采纳率: 98%
浏览 12
已结题

域名SSL证书的安装部署问题

你好,我们域名的DV证书即将到期,需要续签更新,并安装部署到我们本地的服务器,我们本地服务器系统是win2008R2,业务系统用的是tomcat,请问这个域名证书,如何安装的流程和步骤,请指导一下

  • 写回答

8条回答 默认 最新

  • 檀越@新空间 2025-07-17 10:48
    关注

    上午好☀️☀️☀️️
    本答案参考通义千问

    你好!关于域名SSL证书的续签与安装部署,尤其是在 Windows Server 2008 R2 系统下使用 Tomcat 的场景,以下是详细的流程和步骤指南。请按照以下步骤操作:

    一、准备工作

    1. 获取新的SSL证书文件

    • 在证书颁发机构(如Let's Encrypt、DigiCert等)申请并下载新证书。
    • 通常会得到以下文件:
      • 证书文件(.crt 或 .pem)
      • 私钥文件(.key)
      • 中间证书(.crt 或 .pem)

    注意: 如果是DV证书,确保域名已通过验证,并且证书包含正确的域名。

    二、将证书文件上传到服务器

    2.1 使用FTP或远程桌面连接上传证书文件

    • .crt.key 和中间证书文件上传至服务器的某个目录,例如: 
      C:\ssl\yourdomain.crt
C:\ssl\yourdomain.key
C:\ssl\intermediate.crt

    三、合并证书文件(可选)

    3.1 合并中间证书和主证书(如果需要)

    有些服务器要求将主证书中间证书合并成一个文件。

    示例命令(使用文本编辑器或PowerShell):

    Get-Content "C:\ssl\yourdomain.crt" >> "C:\ssl\combined.crt"
Get-Content "C:\ssl\intermediate.crt" >> "C:\ssl\combined.crt"

    建议: 合并后的文件用于Tomcat配置中。

    四、配置Tomcat以使用SSL证书

    4.1 修改 server.xml 文件

    打开Tomcat的 conf/server.xml 文件,找到 <Connector> 标签,通常是类似如下内容:

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS" />

    修改为如下配置(根据你的证书路径进行调整):

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="C:/ssl/yourdomain.p12"
           keystorePass="your_password"
           keyAlias="tomcat" />

    注意:

    • keystoreFile 是你的PKCS12格式的证书文件路径。
    • keystorePass 是你设置的密码。
    • keyAlias 是你在生成证书时指定的别名。

    五、将证书转换为PKCS12格式(如果未提供)

    5.1 使用OpenSSL转换证书格式

    如果你只有 .crt.key 文件,可以使用 OpenSSL 转换为 PKCS12 格式:

    安装OpenSSL(如果尚未安装):

    执行转换命令:

    openssl pkcs12 -export -in C:\ssl\yourdomain.crt -inkey C:\ssl\yourdomain.key -out C:\ssl\yourdomain.p12 -name tomcat

    提示: 生成过程中会提示你设置密码,记住这个密码。

    六、重启Tomcat服务

    6.1 重启Tomcat服务

    • 打开 服务管理器(services.msc),找到 Apache Tomcat 服务,右键选择 “重启”
    • 或者使用命令行: 
      net stop "Apache Tomcat"
net start "Apache Tomcat"

    七、验证SSL证书是否生效

    7.1 访问HTTPS地址

    在浏览器中访问:

    https://yourdomain.com:8443

    检查点:

    • 浏览器地址栏显示锁形图标。
    • 检查证书信息,确认域名、有效期、颁发机构等信息正确。

    八、更新防火墙规则(如有需要)

    8.1 确保端口8443开放

    • 在Windows防火墙中,确保 TCP 8443 端口允许入站连接。

    九、备份旧证书(可选)

    9.1 备份旧证书文件

    • 建议保留旧证书文件一段时间,以防出现问题。

    十、后续维护建议

    10.1 设置自动续签(推荐)

    • 如果使用 Let's Encrypt,可以使用 Certbot 自动续签并更新证书。
    • 对于 Windows 2008 R2,可能需要手动处理,但可以编写脚本定时检查证书有效期。

    总结:关键步骤清单

    1. 获取新的SSL证书文件
    2. 上传证书文件到服务器
    3. 合并证书(如需要)
    4. 配置Tomcat的 server.xml 文件
    5. 转换证书为PKCS12格式(如需要)
    6. 重启Tomcat服务
    7. 验证SSL证书是否生效
    8. 更新防火墙规则(如需要)
    9. 备份旧证书(可选)
    10. 设置自动续签机制(推荐)

    如果你需要,我可以提供 具体的 server.xml 配置示例OpenSSL 命令脚本,请告诉我你的证书类型(如Let's Encrypt、DigiCert等)。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(7条)

报告相同问题?

问题事件

  • 系统已结题 9月5日
  • 已采纳回答 8月28日
  • 创建了问题 7月17日