Alibaba Cloud Certificate Management Serviceを使用すると、Tomcatサーバーに証明書をダウンロードしてインストールできます。
Tomcatサーバーは、PFX証明書とJKS証明書の2種類の証明書をサポートしています。 Tomcatサーバーのバージョンに基づいて、PFX証明書またはJKS証明書をダウンロードできます。
このトピックでは、TomcatサーバーにJKS証明書をダウンロードしてインストールする方法について説明します。
前提条件
- Tomcatサーバーにログオンしています。 Tomcatサーバーは次の要件を満たしています。
- ポート443が有効です。 Port 443 is the default port for HTTPS services.
- The OpenSSL tool is installed. OpenSSLツールがインストールされていない場合は、OpenSSL公式Webサイトにアクセスして、OpenSSLツールをダウンロードしてインストールできます。
- JKS証明書は、証明書管理サービスコンソールからダウンロードされます。 詳細については、「証明書をコンピューターにダウンロードする」をご参照ください。
手順
このトピックでは、Linuxオペレーティングシステムを実行するTomcat 7サーバーにJKS証明書をインストールする方法の例を示します。
- ダウンロードした証明書パッケージを解凍します。
次のファイルが取得されます。
- 証明書ファイル: domain_name jks
注 この例では、証明書名はdomain_nameです。
- パスワードファイル: jks-password.txt
注
- 証明書を申請するときにCSR生成を自動に設定しないと、ダウンロードした証明書パッケージにTXTパスワードファイルが含まれません。 この場合、Otherタイプのサーバー用のCRT証明書をダウンロードし、OpenSSLツールを使用して証明書ファイルをJKS形式に変換する必要があります。
- 証明書をダウンロードするたびに、新しいパスワードファイルが生成されます。 The password file is valid only for the downloaded
certificate. 証明書を更新する場合は、パスワードも更新する必要があります。
- Tomcatのインストールディレクトリにcertディレクトリを作成し、JKS証明書ファイルとパスワードファイルをcertディレクトリにコピーします。
- 次の手順を実行して、設定ファイルserver.xmlを変更します。
- Access Tomcat installation directory/conf/server.xml and open the server.xml file.
- server.xmlファイルの次のコンテンツから、番号記号 (#) が前に付いているコメントを削除します。
<コネクタポート="8443"
protocol="HTTP/1.1"
port="8443" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
- Modify the server.xml file based on the following descriptions:
<Connector port="443"# ビジネス要件に基づいてポートを変更します。 ポート443は、HTTPSサービスのデフォルトポートです。 別のポートを使用する場合は、https:// yourdomain:portを使用してWebサイトにアクセスする必要があります。
protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile=" Tomcatインストールディレクトリ /cert/ domain_name .jks"# 証明書名の前に証明書の絶対パスを追加します。 domain_nameを証明書ファイルの名前に置き換えます。
keystorePass=" 証明書パスワード " # jks-password.txtファイルに内容を入力します。
clientAuth="false"
SSLProtocol="TLSv1.1 + TLSv1.2 + TLSv1.3"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
- server.xmlファイルを保存します。
- オプション:HTTPリクエストをHTTPSリクエストにリダイレクトするようにweb.xmlファイルを設定します。
次のコンテンツを
</welcome-file-list> ファイルに追加します。
<login-config>
<!-- SSLの認証設定 -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name> クライアントCertユーザー専用エリア </realm-name>
</login-config>
<security-constraint>
<!-- SSLの認証設定 -->
<web-resource-collection >
<web-resource-name>Project name</web-resource-name> # Replace Project name with the name of your project.
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
- Tomcatサーバーを再起動します。
- Run the following command to stop your Tomcat server:
- 次のコマンドを実行して、Tomcatサーバーを起動します。
次の手順
上記の操作を完了すると、証明書にバインドされているドメイン名にアクセスして、証明書がインストールされているかどうかを確認できます。
https:// domain name# domain nameを証明書にバインドされているドメイン名に置き換えます。
- アドレスバーにロックアイコンが表示された場合、証明書がインストールされます。
- HTTPS経由でWebサイトにアクセスできない場合は、証明書がインストールされているサーバーでポート443が有効になっているかどうかを確認します。