購買SSL證書

首先第一步就是獲取一個證書。來到阿里云購買證書頁面。傳送門：阿里云免費SSL地址

image

點擊立即購買，然后下一步，直接支付就可以了

image

看下支付成功

image

之后，去阿里云控制臺，選擇菜安全（云盾）->證書服務，可以找到剛剛的購買好的訂單

image

剛剛買好的訂單，證書狀態(tài)為待完成。需要點擊補全鏈接進行補全

補全信息

補全信息就是填寫一些你的域名信息和你的個人信息，順帶驗證下域名是你的

第一步是填寫域名。這里不能寫通配符域名，需要寫普通域名，就是類似于www.baidu.com或者images.baidu.com這種

所以，當你需要多個二級域名的時候，你需要購買多個免費的SSL證書

image

下一步，填寫個人信息

image

這里面要注意，紅框內的域名驗證類型

• DNS：是在域名解析記錄里面添加一條記錄來證明域名是你的
• 文件：是傳一個文件到你的域名根目錄方式來證明域名是你的

其中如果選擇DNS的，并且域名在阿里云的可以直接勾選下面的復選框，這樣阿里云就會自動幫你填寫域名解析記錄，全自動

點擊下一步，進入生成CSR界面，這里為了簡單，選擇系統(tǒng)生成。點擊創(chuàng)建自動創(chuàng)建

image

查看狀態(tài)

完成上面所有工作后?；氐阶C書訂單列表，信息會顯示在審核中狀態(tài)。點擊進度可以查看之前步奏是否有問題

如下狀態(tài)是成功：

image

如果點擊進度，彈出對話框如下

image

注意紅色字。說明，系統(tǒng)在域名解析中添加TXT記錄存在沖突。那么說明你的域名中存在同名的CNAME記錄。因為，CNAME和TXT同名會沖突

我們去域名解析界面看下：

image

果然，這里存在同名的CNAME。解決方案：

1. 先刪除CNAME，添加TXT記錄，等到域名授權驗證通過。這時再刪除TXT，把CNAME寫回來
2. 先把CNAME改為A記錄（因為A記錄和TXT不沖突），然后添加TXT。等到審核通過同上

一切問題都解決了，下面就等簽發(fā)

安裝服務器證書

等到簽發(fā)完成后，我們直接點擊對應域名的下載鏈接

image

跳轉到該界面，選擇你對應的服務器，下載證書。我這里是tomcat

微信截圖_20180208154040.png

下載完成后，文件包內應該有4個文件

微信截圖_20180208154709.png

我們去服務器tomcat安裝的目錄的conf創(chuàng)建一個文件夾cert，將剛剛下載的兩個文件傳到cert目錄

微信截圖_20180208154554.png

找到安裝Tomcat目錄下該文件server.xml,一般默認路徑都是在 conf 文件夾中，加上以下內容：

<Connector port="443"
    protocol="org.apache.coyote.http11.Http11Protocol"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="/usr/local/apache-tomcat-8.5.27/conf/cert/xxxxxxxxxxxx.pfx證書絕對路徑"
    keystoreType="PKCS12"
    keystorePass="xxxxxxxxxxxxxx證書密碼"
    clientAuth="false"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
  ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

重啟 Tomcat

通過 https 方式訪問您的站點

微信截圖_20180208161229.png