如何配置Tomcat的SSL

配置Tomcat的SSL需完成以下关键步骤：

1. 生成SSL证书
   使用JDK的keytool生成自签名证书（仅适用于测试）：

   keytool -genkey -alias tomcat -keyalg RSA -keystore /path/to/keystore.jks -validity 365  
   

   （需输入密钥库密码、域名等信息，生成的keystore.jks需保存至安全路径）。

2. 修改Tomcat配置文件
   编辑conf/server.xml，添加或修改<Connector>元素，配置SSL参数：

   <Connector  
       port="8443"  
       protocol="org.apache.coyote.http11.Http11NioProtocol"  
       SSLEnabled="true"  
       scheme="https"  
       secure="true"  
       keystoreFile="/path/to/keystore.jks"  
       keystorePass="your_password"  
       sslProtocol="TLS"  
       ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384"  
   />  
   

   • port：HTTPS端口（默认8443，可自定义）。
   • keystoreFile：证书库路径，keystorePass为密码。
   • sslProtocol：指定TLS版本（如TLSv1.2、TLSv1.3）。
   • ciphers：可选，指定支持的加密套件（如GCM模式的AES）。

3. 重启Tomcat
   保存配置后，重启服务使生效：

   ./bin/shutdown.sh && ./bin/startup.sh  
   

4. 验证配置
   通过浏览器访问https://localhost:8443，检查证书是否加载（自签名证书可能提示“不安全”，需手动信任）。

生产环境注意事项：

• 需使用CA颁发的正式证书，而非自签名证书。
• 确保防火墙开放HTTPS端口，且网络设备正确转发HTTPS请求。
• 定期更新证书有效期，避免过期导致服务中断。