在Tomcat伺服器安裝SSL認證（Windows） - Certificate Management Service

網站使用未加密的HTTP協議時，使用者資料在傳輸過程中容易被竊取，瀏覽器也會提示“不安全”，影響使用者信任和業務安全。通過在Windows Tomcat伺服器上部署SSL認證，可以啟用HTTPS加密通訊。本文介紹如何在Windows系統上的Tomcat伺服器部署SSL認證，以及安裝後HTTPS效果驗證等步驟。

適用範圍

開始配置前，確保滿足以下條件：

認證狀態：已擁有由權威機構簽發的 SSL 憑證。若認證即將到期或已到期，請先續約SSL認證。
網域名稱匹配：確保認證能夠匹配所有需保護的網域名稱。如需添加或修改網域名稱，可根據需求購買正式認證或追加和更換網域名稱。
- 精確網域名稱：僅對指定網域名稱生效。
  - example.com 僅對 example.com 生效。
  - www.example.com 僅對 www.example.com 生效。
- 萬用字元網域名稱：僅對其一級子網域名稱生效。
  - *.example.com 對 www.example.com、a.example.com 等一級子網域名稱生效。
  - *.example.com 對根網域名稱 example.com 和多級子網域名稱 a.b.example.com 不生效。
說明
如需匹配多級子網域名稱，綁定網域名稱中需包含該網域名稱（如 a.b.example.com），或包含相應的萬用字元網域名稱（如 *.b.example.com）。
伺服器許可權：需要使用 Administrator 賬戶或一個具有管理員權限的賬戶。
網域名稱解析：網域名稱已配置解析記錄並解析至伺服器的公網 IP。
環境依賴：本文以Windows Server 2025作業系統、Tomcat-9.0.105版本為例介紹。本文中Apache的樣本安裝目錄為C:\apache-tomcat-9.0.105。
說明
不同版本的作業系統或Web伺服器，部署操作可能有所差異。

操作步驟

步驟一：準備SSL認證

進入SSL認證管理頁面，在目標認證操作列單擊更多進入認證詳情頁面，然後在下載頁簽中下載伺服器類型為Tomcat的認證。
解壓下載的認證壓縮包，解壓後包含一個認證檔案（.pfx或.jks）和認證密碼檔案（.txt）。
說明
若申請認證時使用 OpenSSL、Keytool 等工具產生 CSR 檔案，私密金鑰檔案僅儲存在您本地，下載的認證包中不包含私密金鑰。如私密金鑰遺失，認證將無法使用，需重新購買正式認證並產生CSR和私密金鑰。
將認證檔案和私密金鑰檔案上傳至伺服器，並存放在一個安全的外部目錄（本文樣本路徑為D:\cert）。
說明
以下操作以阿里雲 ECS 為例，其它類型的伺服器請參考其官方文檔。
1. 訪問ECS控制台-執行個體。在頁面左側頂部，選擇目標資源所在的資源群組和地區。
2. 進入目標執行個體詳情頁，單擊遠端連線，選擇通過Workbench遠端連線。根據頁面提示登入，進入伺服器案頭。
3. 單擊伺服器左下角開始菜單，尋找並開啟名為此電腦、電腦或檔案總管的選項。
4. 雙擊重新導向的驅動程式和檔案夾下的***上的workbench，從本地拖動認證檔案至該目錄，然後右鍵重新整理檔案夾。
5. 將目標檔案複製到D:\cert目錄。
  重要
  重新串連、退出執行個體時，Workbench會自動清除該執行個體重新導向的驅動程式和檔案夾中已上傳的所有檔案資訊以節省空間的，該目錄僅用於檔案傳輸，請不要儲存檔案。

步驟二：配置系統與網路環境

開放安全性群組的 443 連接埠。
重要
若您的伺服器部署在雲平台，請確保其安全性群組已開放入方向 443 連接埠 (TCP)，否則外部無法訪問服務。以下操作以阿里雲 ECS 為例，其他雲平台請參考其官方文檔。
1. 進入Elastic Compute Service執行個體頁面，選擇目標 ECS 執行個體所在地區，單擊目標執行個體名稱，進入執行個體詳情頁。
2. 單擊安全性群組 > 內網入方向全部規則，確儲存在一條授權策略為允許、協議類型為 TCP、目的連接埠範圍為 HTTPS(443)、授權對象為任何位置(0.0.0.0/0)的規則。
3. 如不存在上述規則，請參照添加安全性群組規則在目標安全性群組中添加相應規則。
開放伺服器防火牆的443連接埠。
1. 登入Windows伺服器，單擊左下角開始菜單，開啟控制台。
2. 點擊系統和安全 > Windows防火牆 > 檢查防火牆狀態。
3. 如果防火牆處於如下圖的關閉狀態，無需額外操作。
4. 如果防火牆已開啟，請參考以下步驟允許存取HTTPS規則。
  1. 單擊左側進階設定 > 入站規則，檢查是否存在協議為TCP，本地連接埠為443，操作為阻止的入站規則。
  2. 若存在此類規則，需要按右鍵相應規則並選擇屬性，在常規頁簽，將其修改為允許串連並應用。

步驟三：在Tomcat伺服器部署認證

編輯Tomcat設定檔server.xml，修改與認證相關的配置（樣本路徑為C:\apache-tomcat-9.0.105\conf\server.xml）。

PFX格式Tomcat9.0配置樣本

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true"
           maxParameterCount="1000">
    <SSLHostConfig>
        <!-- 請將D:/cert/example.com.pfx請您替換為認證的實際路徑，認證密碼替換為認證密碼檔案pfx-password.txt中的內容 -->
        <Certificate certificateKeystoreFile="D:/cert/example.com.pfx"
                     certificateKeystorePassword="認證密碼" type="RSA"/>
    </SSLHostConfig>
</Connector>

JKS格式Tomcat9.0配置樣本

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true"
           maxParameterCount="1000">
    <SSLHostConfig>
        <!-- 請將D:/cert/example.com.jks替換為認證的實際路徑，認證密碼替換為認證密碼檔案jks-password.txt中的內容 -->
        <Certificate certificateKeystoreFile="D:/cert/example.com.jks"
                     certificateKeystorePassword="認證密碼" type="RSA" />
    </SSLHostConfig>
</Connector>

可選：設定HTTP請求自動跳轉到HTTPS。

編輯Tomcat設定檔server.xml，找到HTTP連接器（Tomcat通常預設監聽8080連接埠），並修改redirectPort屬性（如果沒有請添加）。

<!-- Tomcat預設監聽8080連接埠，請修改為您實際監聽的HTTP連接埠。 -->
<Connector port="80" protocol="HTTP/1.1"
           connectionTimeout="20000"
           redirectPort="443"
           maxParameterCount="1000"
           />

在web.xml檔案末尾添加以下配置項。

<security-constraint>
    <web-resource-collection>
        <web-resource-name>SSL</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

說明

以上配置修改完成後，即可將HTTP請求強制轉寄到HTTPS。

確認以上配置修改完成並儲存後，進入Tomcat安裝目錄下的bin目錄，重啟伺服器，以使SSL相關配置生效。
- 停止Tomcat伺服器。
```
shutdown.bat
```
- 啟動Tomcat伺服器。
```
startup.bat
```

步驟四：驗證部署結果

請通過 HTTPS 訪問您已綁定認證的網域名稱（如 https://example.com，example.com 需替換為實際網域名稱）。
若瀏覽器地址欄顯示安全鎖表徵圖，說明認證已成功部署。如訪問異常或未顯示安全鎖，請先清除瀏覽器緩衝或使用無痕（隱私）模式重試。
Chrome 瀏覽器自 117 版本起，地址欄中的已被新的替代，需單擊該表徵圖後查看安全鎖資訊。

說明

如仍有問題，請參考常見問題進行排查。

應用於生產環境

在生產環境部署時，遵循以下最佳實務可提升安全性、穩定性和可維護性：

使用非管理員權限使用者運行：
為應用建立專用的、低許可權的系統使用者，切勿使用擁有管理員權限的賬戶運行應用。
說明
建議使用網關層配置 SSL的方案，即將認證部署在Server Load Balancer或Nginx等反向 Proxy上，由其終結 HTTPS 流量，再將解密後的 HTTP 流量轉寄到後端應用。
憑證外部化管理：
切勿將密碼等敏感資訊寫入程式碼在代碼或設定檔中。使用環境變數、Vault 或雲端服務商提供的Key Management Service來注入憑證。
啟用 HTTP 到 HTTPS 強制跳轉：
確保所有通過 HTTP 訪問的流量都被自動重新導向到 HTTPS，防止中間人攻擊。
配置現代 TLS 協議：
在伺服器配置中禁用老舊且不安全的協議（如 SSLv3, TLSv1.0, TLSv1.1），僅啟用 TLSv1.2 和 TLSv1.3。
認證監控與自動續期：
建議在認證部署完成後，為網域名稱開啟網域名稱監控功能。阿里雲將自動檢測認證有效期間，並在認證到期前發送提醒，協助您及時續期，避免服務中斷。具體操作請參見購買並開啟公網網域名稱監控。

常見問題

安裝或更新認證後，認證未生效或 HTTPS 無法訪問

常見原因如下：

伺服器安全性群組或防火牆未開放 443 連接埠。請參見配置系統與網路環境。
認證的綁定網域名稱未包含當前訪問的網域名稱。請參見網域名稱匹配。
修改 Tomcat 設定檔後，未重啟Tomcat服務。具體操作可參見停止並重啟Tomcat服務。
認證檔案未正確替換，或 Tomcat 配置未正確指定憑證路徑。請檢查 Tomcat 設定檔和所用認證檔案是否為最新且有效。
網域名稱已接入 CDN、SLB 或 WAF 等雲產品，但未在相應產品中安裝認證。請參閱流量經過多個雲產品時認證的部署位置完成相關操作。
當前網域名稱的 DNS 解析指向多台伺服器，但認證僅在部分伺服器上安裝。需分別在每個伺服器中安裝認證。

說明

如需進一步排查，請參考：根據瀏覽器錯誤提示解決認證部署問題和 SSL認證部署故障自助排查指南。

如何更新（替換）Tomcat 中已安裝的 SSL 憑證

請先備份伺服器上原有的認證檔案（.pfx或.jks，以及.txt檔案），然後登入數位憑證管理服務控制台，下載新的認證檔案，並上傳到目標伺服器覆蓋原有檔案（確保路徑和檔案名稱一致）。最後，重啟Tomcat服務，使新認證生效。

重啟 Tomcat 後，服務無法啟動，日誌（`catalina.log`）中出現 `LifecycleException` 或 `Keystore was tampered with, or password was incorrect` 錯誤。

此問題通常由以下原因導致：

密碼錯誤：
server.xml 中填寫的 certificateKeystorePassword 與實際認證密碼不符。需仔細核對，注意區分大小寫。
憑證路徑錯誤：
certificateKeystoreFile 指定的路徑不正確，Tomcat 找不到認證檔案。需確認路徑拼字無誤，並建議使用相對於 conf/ 的路徑。
認證格式類型錯誤：
certificateKeystoreType 與實際認證檔案格式不匹配。PFX 檔案應使用 PKCS12，JKS 檔案應使用 JKS。
密碼包含特殊字元：
密碼包含 &, <, > 等 XML 特殊字元，但未在 server.xml 中進行轉義。

如何讓 HTTP 自動跳轉到 HTTPS？

請參照設定HTTP請求自動跳轉到HTTPS部分，修改相應的設定檔後，重啟服務即可。