Let'sEncrypt是一个免费SSL证书发行项目，发行的证书已经获得主流浏览器的支持。
这里说如何使用Let'sEncrypt获得免费SSL证书，配置apache的SSL功能，请求转发到Tomcat并且访问HTTP的请求的时候自动跳转至HTTPS请求。

下列全部操作都是在centos6.8阿里云机器上测试通过的。
说的有不明白的，建议事先网上了解下。

我这里有配置好的样子,这个地方通过Apache转发到Tomcat，配置的有SSL证书以及访问HTTP时自动跳转至HTTPS，这里直接访问 s.hanyz.cn 自动跳转:

测试

大致步骤：

1. 准备好一个域名，解析到你的公网服务器(我的是s.hanyz.cn)
2. 安装Let'sEncrypt
3. 安装及配置Apache
4. 给准备的域名生成ssl证书文件
5. tomcat环境配置好(我这里准备的一个项目名叫kind_editor测试使用)
6. 给Apache设置HTTP请求转发至HTTPS

一、安装Let'sEncrypt

进入到一个目录下，在当前目录下载Let's Let'sEncrypt。

wget -p ./ https://github.com/certbot/certbot  

下载完是一个文件夹名称为certbot的。

cd certbot进入目录，执行命令，Let's Let'sEncrypt会自己安装。

./letsencrypt-auto --help  

二、安装配置Tomcat(事先配置好JDK)

1. 下载安装包(略)。
2. 解压(略)。

三、安装Apache

安装

yum install httpd  

配置ssl需要先按照ssl

yum install mod_ssl  

安装完可以先启动一些Apache，看安装好了没。

Apache启动

service httpd start

启动完成后，地址栏上输入公网IP地址，则会跳转到Apache的首页。

提示：

Apache 启动: service httpd start
Apache 停止: service httpd stop
Apache 重启: service httpd restart
Apache 配置文件: /etc/httpd/conf/httpd.conf
Apache ssl模块的配置文件: /etc/httpd/conf.d/ssl.conf

四、配置Apache

配置Apache在http协议基础上使用ProxyPass转发URL到Tomcat
通俗的说就是：我们使用Apache的请求转发功能，转发到哪？转发到Tomcat 下。

在 httpd.conf 文件里面加入以下代码:

NameVirtualHost *:80  

<VirtualHost *:80>  
ProxyPreserveHost On  
ServerName s.hanyz.cn  
ProxyPass / http://localhost:8080/  
ErrorLog logs/error_log  
CustomLog logs/access_log common  

RewriteEngine on  
RewriteCond %{SERVER_PORT} 80  
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]  
RewriteLog /var/log/httpd/rewrite.log  
RewriteLogLevel 10  

</VirtualHost>  

ServerName: 配置的是你的需要访问的域名。
ProxyPass: 你想能通过这个域名要访问到Tomcat下的什么项目。
Rewrite: 这些开头是配置将http协议的请求自动跳转到https协议。
这个地方不说tomcat怎么配置域名绑定，百度一搜就知道。就在Host下配置一个就行了。

<Context path="" docBase="/你的tomcat的webapp的路径/你的项目名" reloadable="true" />

然后就到了配置SSL了，它来实现http自动转换成https协议。

ProxyPass /test http://localhost:8080/examples
ProxyPassReverse /test http://localhost:8080/examples
ProxyPass /docs http://localhost:8080/docs
ProxyPassReverse /docs http://localhost:8080/docs
ProxyPass / http://localhost:8080/
ProxyPassReverse / http://localhost:8080/

第一个是当我访问 s.hanyz.cn/test 的时候，自动跳转到 https://s.hanyz.cn/test ，那Apache会给指向到 http://localhost:8080/examples 下，也就是Tomcat下的 examples 目录

我这里是事先已经配置好了证书，所以是带绿锁的。

如下图所示是通过Apache请求转发了的:

测试

下面是主动通过tomcat访问到的，效果是一样的:

测试

到这个地方基本完成了那些呢？

1. Apache配置请求转发。
2. 自动跳转到https请求。

下面就是给域名签名获取免费的SSL证书了。

五、给域名生成证书

修改ssl.conf，将<VirtualHost *:443>标签中 #ServerName www.example.com:443 前边的#去掉，域名改为自己的域名，Let's Let'sEncrypt生成的证书就是绑定这个域名的 。

 Let's Let'sEncrypt支持3种认证方式   
 --apache    Use the Apache plugin for authentication &  installation  
 --standalone      Run a standalone webserver for authentication  
 --webroot         Place files in a server's webroot folder for authentication  

这里使用apache的认证方式，命令如下:

cd certbot进入目录:

./letsencrypt-auto --apache --apache-le-vhost-ext /etc/httpd/conf.d/ssl.conf --register-unsafely-without-email  

这个地方需要注意的是可能会有的坑:

确保公网服务器有开放安全组的端口，除了服务器上 iptables 设置了，阿里云或腾讯云上管理控制台上也需要手动开放端口。

不然在敲完上面的命令以后，生成证书的时候，安全组的安全设置导致域名没有开发443端口，就会出现下面的错。

生成配置文件ERROR

类型那里说是: 未知的Host ，一开始也觉得奇怪，ping通了呀，为啥生成配置文件就错误了呢，后来突然想到了443端口是否被限了。

然后敲完上面这个命令以后，Let'sEncrypt 会问你给哪个域名配置证书， 选择数字对应自己设置的域名 (也就是之前ssl.conf中设置的域名)。

选择完数字，还有一个选项 ，选择对应数字就行了。

最后生成成功以后， 有个 祝贺的xxx 英文单词一堆，就没细看了，知道是生成ssl证书成功了。

下面是ssl证书生成完的路径
/etc/letsencrypt/live/www.example.com/
Let's Let'sEncrypt会自动修改ssl.conf文件，关联证书

生成配置文件ERROR

ssl证书也有了，再通过地址访问的时候，就会出现小绿锁了，并且Apache能转发Tomcat的请求。
我的博客文章地址：http://www.hanyz.cn/2017/07/01/Let-sEncrypt-Apache-Tomcat%E5%AE%9E%E7%8E%B0%E5%85%8D%E8%B4%B9HTTPS/