购买SSL证书
首先第一步就是获取一个证书。来到阿里云购买证书页面。传送门:阿里云免费SSL地址
image
点击立即购买,然后下一步,直接支付就可以了
image
看下支付成功
image
之后,去阿里云控制台,选择菜安全(云盾)->证书服务,可以找到刚刚的购买好的订单
image
刚刚买好的订单,证书状态为待完成。需要点击补全链接进行补全
补全信息
补全信息就是填写一些你的域名信息和你的个人信息,顺带验证下域名是你的
第一步是填写域名。这里不能写通配符域名,需要写普通域名,就是类似于www.baidu.com或者images.baidu.com这种
所以,当你需要多个二级域名的时候,你需要购买多个免费的SSL证书
image
下一步,填写个人信息
image
这里面要注意,红框内的域名验证类型
- DNS:是在域名解析记录里面添加一条记录来证明域名是你的
- 文件:是传一个文件到你的域名根目录方式来证明域名是你的
其中如果选择DNS的,并且域名在阿里云的可以直接勾选下面的复选框,这样阿里云就会自动帮你填写域名解析记录,全自动
点击下一步,进入生成CSR界面,这里为了简单,选择系统生成。点击创建自动创建
image
查看状态
完成上面所有工作后。回到证书订单列表,信息会显示在审核中状态。点击进度可以查看之前步奏是否有问题
如下状态是成功:
image
如果点击进度,弹出对话框如下
image
注意红色字。说明,系统在域名解析中添加TXT记录存在冲突。那么说明你的域名中存在同名的CNAME记录。因为,CNAME和TXT同名会冲突
我们去域名解析界面看下:
image
果然,这里存在同名的CNAME。解决方案:
- 先删除CNAME,添加TXT记录,等到域名授权验证通过。这时再删除TXT,把CNAME写回来
- 先把CNAME改为A记录(因为A记录和TXT不冲突),然后添加TXT。等到审核通过同上
一切问题都解决了,下面就等签发
安装服务器证书
等到签发完成后,我们直接点击对应域名的下载链接
image
跳转到该界面,选择你对应的服务器,下载证书。我这里是tomcat
微信截图_20180208154040.png
下载完成后,文件包内应该有4个文件
微信截图_20180208154709.png
我们去服务器tomcat安装的目录的conf创建一个文件夹cert,将刚刚下载的两个文件传到cert目录
微信截图_20180208154554.png
找到安装Tomcat目录下该文件server.xml,一般默认路径都是在 conf 文件夹中,加上以下内容:
<Connector port="443"
protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="/usr/local/apache-tomcat-8.5.27/conf/cert/xxxxxxxxxxxx.pfx证书绝对路径"
keystoreType="PKCS12"
keystorePass="xxxxxxxxxxxxxx证书密码"
clientAuth="false"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
重启 Tomcat
通过 https 方式访问您的站点
微信截图_20180208161229.png
