tomcat 配置 Let's Encrypt 多域名免费证书 centos 6.5

本贴最后更新于 2477 天前,其中的信息可能已经时移世改

本文出现的意图

由于公司最近因为IOS版本的升级,开始全面推广https,所有的IOS客户端都要使用ssl证书。公司买了阿里的证书一年要五千多,

感觉还是挺贵的。后来去了解原来还有免费证书这个东西,就想着去捣鼓一下,网上教程很多,标准不一,大致都差不多。由于

每个机器的环境都不一样,导致遇到的情况也是不太一样。对于不少人来说,问题还是挺多的。如果大伙不想自己去配置,可以

下载宝塔的面板来管理网站,它就有一键部署Let's Encrypt 的功能,我在腾讯云下使用宝塔没有出现问题,大家也可以用他来建站。

宝塔官网:点击跳转

配置 Let's Encrypt 免费证书的准备

1、 首先把你的域名解析到这台服务器,这里是多域名配置,那至少解析两个子域名过来啦,我这里解析的是  ssl.huiyanxian.cn ,

	tssl.huiyanxian.cn 切记是A解析啊

2、 首先你要配置好你的java环境,包括jdk,tomcat的安装。我的端口改为了80,具体配置如下(可以不按照我的来配置)

   <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" />
  
   <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https"
	   secure="true" keystoreFile="生成证书的路径" keystorePass="证书的密码"
		  clientAuth="false" sslProtocol="TLS" />

3、 因为在安装过程中需要安装不少依赖,因为默认源在国外,导致依赖失败,所以需要先把源改为国内源,大家可以用网易163的源,

	或者阿里的,我这里用的是阿里的源,具体更换方法参考我前面的另一片文章  https://blog.huiyanxian.cn/articles/2017/06/15/1497490831833.html

4、 这里是使用的是certbot-auto 来申请证书,python要升级到2.7,centos 6.5 默认的python版本是 2.6.6,升级python参考文章

	(https://blog.fazero.me/2016/10/13/centos-update-python/),这里提供了一键脚本,以及把pip升级到了最新。

开始安装

1、 安装 certbot 

	wget https://dl.eff.org/certbot-auto

	chmod a+x certbot-auto
	
2、 申请ssl ,因为要验证你的域名是否解析到了你的服务器,会借用你的80/443端口。所以在执行下面语句之前保证80/443 

	是没有被占用的。我这里只需要关闭tomcat就行。

	./certbot-auto certonly --standalone --email xxxxxx@qq.com -d ssl.huiyanxian.cn -d tssl.huiyanxian.cn
	
	这里是多域名的,想要在添加域名的话继续在后面添加 -d 域名  email后面填写的是你的邮箱
	
	弹出的 两个选项  一个选择同意  A  另外一个选择 Y 就行。
	
	等待到最后出现以下内容说明申请成功
	
	IMPORTANT NOTES:
   - Congratulations! Your certificate and chain have been saved at
	 /etc/letsencrypt/live/ssl.huiyanxian.cn/fullchain.pem. Your cert
	 will expire on 2017-09-14. To obtain a new or tweaked version of
	 this certificate in the future, simply run certbot-auto again. To
	 non-interactively renew *all* of your certificates, run
	 "certbot-auto renew"
   - Your account credentials have been saved in your Certbot
	 configuration directory at /etc/letsencrypt. You should make a
	 secure backup of this folder now. This configuration directory will
	 also contain certificates and private keys obtained by Certbot so
	 making regular backups of this folder is ideal.
   - If you like Certbot, please consider supporting our work by:

	 Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
	 Donating to EFF:                    https://eff.org/donate-le
	 
	说明申请成功,并且存放在了 这个文件下  /etc/letsencrypt/live/ssl.huiyanxian.cn/fullchain.pem
	
3、 合成tomcat的证书,在 tomcat 底下创建一个文件夹用来存放准备生产的证书(当然也可以自己选择一个目录存放)
  
	我的目录是:/usr/local/tomcat/conf/LetsEncrypt ,
	
	#进入申请证书的目录,这个目录会以第一个域名明明,不影响多域名使用。
	cd /etc/letsencrypt/live/ssl.huiyanxian.cn/  
	
	#复制到tomcat刚创建的证书目录下
	cp fullchain.pem  /usr/local/tomcat/conf/LetsEncrypt
	
	cp privkey.pem  /usr/local/tomcat/conf/LetsEncrypt
	
	#进入到这个目录
	cd /usr/local/tomcat/conf/LetsEncrypt/
	
	#生成.p12文件
	openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out fullchain_and_key.p12 -name tomcat
  
   这里会被要求设置密码,输入就行(下面用到的:yourPKCS12pass)
   
  
	#生成.jks证书
	keytool -importkeystore -deststorepass 'yourJKSpass' -destkeypass 'yourKeyPass' -destkeystore MyDSKeyStore.jks -srckeystore fullchain_and_key.p12 
	
	srcstoretype PKCS12 -srcstorepass 'yourPKCS12pass' -alias tomcat

	其中 yourPKCS12pass 是上一步中设置的ssl证书密码,这里的yourKeyPass是要设置的keystore密码,可以与yourPKCS12pass一致,下面配置tomcat会用到

4、 配置tomcat
	
	<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" />
  
   <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" 
		keystoreFile="/usr/local/tomcat/conf/LetsEncrypt/MyDSKeyStore.jks" keystorePass="证书的密码"
		clientAuth="false" sslProtocol="TLS" />

5、 完成,在tomcat创建两个站点,放入一个简单的.jsp文件,可以通过https://ssl.huiyanxian.cn  https://tssl.huiyanxian.cn  即可访问。

	免费证书只能用三个月,但是可以通过脚本自动更新,后续我会补充相关的自动更新的方法。

参考文献

1、certbot 官方

2、更新 python

3、配置生成证书

  • B3log

    B3log 是一个开源组织,名字来源于“Bulletin Board Blog”缩写,目标是将独立博客与论坛结合,形成一种新的网络社区体验,详细请看 B3log 构思。目前 B3log 已经开源了多款产品:SymSoloVditor思源笔记

    1090 引用 • 3467 回帖 • 297 关注

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...

推荐标签 标签

  • Elasticsearch

    Elasticsearch 是一个基于 Lucene 的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于 RESTful 接口。Elasticsearch 是用 Java 开发的,并作为 Apache 许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。

    116 引用 • 99 回帖 • 275 关注
  • Sym

    Sym 是一款用 Java 实现的现代化社区(论坛/BBS/社交网络/博客)系统平台。

    下一代的社区系统,为未来而构建

    522 引用 • 4581 回帖 • 687 关注
  • TGIF

    Thank God It's Friday! 感谢老天,总算到星期五啦!

    284 引用 • 4481 回帖 • 652 关注
  • 开源中国

    开源中国是目前中国最大的开源技术社区。传播开源的理念,推广开源项目,为 IT 开发者提供了一个发现、使用、并交流开源技术的平台。目前开源中国社区已收录超过两万款开源软件。

    7 引用 • 86 回帖
  • flomo

    flomo 是新一代 「卡片笔记」 ,专注在碎片化时代,促进你的记录,帮你积累更多知识资产。

    3 引用 • 74 回帖 • 2 关注
  • Firefox

    Mozilla Firefox 中文俗称“火狐”(正式缩写为 Fx 或 fx,非正式缩写为 FF),是一个开源的网页浏览器,使用 Gecko 排版引擎,支持多种操作系统,如 Windows、OSX 及 Linux 等。

    7 引用 • 30 回帖 • 457 关注
  • Rust

    Rust 是一门赋予每个人构建可靠且高效软件能力的语言。Rust 由 Mozilla 开发,最早发布于 2014 年 9 月。

    57 引用 • 22 回帖
  • FFmpeg

    FFmpeg 是一套可以用来记录、转换数字音频、视频,并能将其转化为流的开源计算机程序。

    22 引用 • 31 回帖 • 12 关注
  • V2Ray
    1 引用 • 15 回帖
  • Swagger

    Swagger 是一款非常流行的 API 开发工具,它遵循 OpenAPI Specification(这是一种通用的、和编程语言无关的 API 描述规范)。Swagger 贯穿整个 API 生命周期,如 API 的设计、编写文档、测试和部署。

    26 引用 • 35 回帖 • 7 关注
  • wolai

    我来 wolai:不仅仅是未来的云端笔记!

    1 引用 • 11 回帖 • 1 关注
  • 创造

    你创造的作品可能会帮助到很多人,如果是开源项目的话就更赞了!

    171 引用 • 988 回帖
  • WebSocket

    WebSocket 是 HTML5 中定义的一种新协议,它实现了浏览器与服务器之间的全双工通信(full-duplex)。

    48 引用 • 206 回帖 • 409 关注
  • Openfire

    Openfire 是开源的、基于可拓展通讯和表示协议 (XMPP)、采用 Java 编程语言开发的实时协作服务器。Openfire 的效率很高,单台服务器可支持上万并发用户。

    6 引用 • 7 回帖 • 87 关注
  • 反馈

    Communication channel for makers and users.

    123 引用 • 906 回帖 • 177 关注
  • 互联网

    互联网(Internet),又称网际网络,或音译因特网、英特网。互联网始于 1969 年美国的阿帕网,是网络与网络之间所串连成的庞大网络,这些网络以一组通用的协议相连,形成逻辑上的单一巨大国际网络。

    96 引用 • 330 回帖
  • 域名

    域名(Domain Name),简称域名、网域,是由一串用点分隔的名字组成的 Internet 上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。

    43 引用 • 208 回帖
  • jsDelivr

    jsDelivr 是一个开源的 CDN 服务,可为 npm 包、GitHub 仓库提供免费、快速并且可靠的全球 CDN 加速服务。

    5 引用 • 31 回帖 • 34 关注
  • NGINX

    NGINX 是一个高性能的 HTTP 和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 NGINX 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本 0.1.0 发布于 2004 年 10 月 4 日。

    311 引用 • 546 回帖 • 57 关注
  • WiFiDog

    WiFiDog 是一套开源的无线热点认证管理工具,主要功能包括:位置相关的内容递送;用户认证和授权;集中式网络监控。

    1 引用 • 7 回帖 • 545 关注
  • 旅游

    希望你我能在旅途中找到人生的下一站。

    83 引用 • 894 回帖
  • CAP

    CAP 指的是在一个分布式系统中, Consistency(一致性)、 Availability(可用性)、Partition tolerance(分区容错性),三者不可兼得。

    11 引用 • 5 回帖 • 553 关注
  • 大数据

    大数据(big data)是指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。

    89 引用 • 113 回帖
  • 电影

    这是一个不能说的秘密。

    120 引用 • 597 回帖 • 1 关注
  • GAE

    Google App Engine(GAE)是 Google 管理的数据中心中用于 WEB 应用程序的开发和托管的平台。2008 年 4 月 发布第一个测试版本。目前支持 Python、Java 和 Go 开发部署。全球已有数十万的开发者在其上开发了众多的应用。

    14 引用 • 42 回帖 • 677 关注
  • Git

    Git 是 Linux Torvalds 为了帮助管理 Linux 内核开发而开发的一个开放源码的版本控制软件。

    204 引用 • 357 回帖
  • OnlyOffice
    4 引用 • 19 关注