HTTPS（SSL / TLS）免费证书申请及网站证书部署实战总结

服务器环境：windows server 2008 + tomcat7

废话不多说，先看部署效果：

一、免费证书申请

Let‘s Encrypt 简介：let‘s Encrypt 是一个免费的开放的非盈利证书颁发机构，截至2018年7月底，Let‘s Encrypt root（ISRG Root X1）直接受到Microsoft产品的信任。

目前受到所有主要root程序的信任，包括Microsoft，Google，Apple，Mozilla，Oracle和Blackberry。即所有主流操作系统环境及浏览器均已信任该机构颁发的证书。

******************************************************************

根据官方的要求，我们在VPS、服务器上部署Let‘s Encrypt免费SSL证书之前，需要系统支持Python2.7以上版本以及支持GIT工具。这种方式没有研究过，有兴趣的

小伙伴可以研究下。

这里我们采用LEGainer - windows下Let‘s Encrypt证书申请工具来申请证书（申请成功的前提是网址能通过域名正常访问，如果还没有搭建好网址，可以先搭建网址，再申请ssl证书）

第一步：工具下载地址：https://pan.baidu.com/s/1BVKwXccF7m2AkDWgWh480A

第二步：解压工具，修改配置

解压文件后打开LEGainer.exe.config 修改配置节点

如下图：

　　Mail：是你的联系邮箱

　　Domain：是你要申请证书的域名

　　WebDir：是你网站的本地目录，LEGainer在申请证书过程中会在此目录生成文件，Let‘s Encrypt会通过域名访问生成的文件，所以请确保域名正确解析和绑定。

　　CertificateSaveDir：是证书申请下来后的保存目录。

　　PFXPassword：是pfx证书的密码。

第三步：在域名所在的主机，运行LEGainer.exe 生成证书；

出现“success!~Enter press any key exit!”字样时，证书就生成成功了。

假设你申请证书的域名为：www.travellight.xyz，那么LEGainer会生成如下几个证书文件：

　　_certificate.der 是证书文件，der格式

　　_certificate.pem 是证书pem格式

　　_csr.pem 是证书签名请求文件

　　_key.pem 是私钥文件

　　_pkcs12.pfx 是iis用的存放证书和私钥的文件

　　_chain.pem 是证书链

第四步：合成tomcat需要的.jks证书

　　这里我采用在线生成当然也可以自己用工具生成

　　在线合成地址：https://www.myssl.cn/tools/merge-jks-cert.html

　　密钥文件(KEY文件)：www.travellight.xyz_key.pem

　　证书文件(CRT/CER文件):www.travellight.xyz_certificate.pem
合成时需填写JKS密码（一定要记住，tomcat配置中需要填写），合成后会生成JKS文件我生成的是 travellight.jks

第五步：将travellight.jks 文件拷贝至服务器tomcat conf 目录中，修改tomcat配置

　　打开 tomcat/conf 目录下server.xml文件修改配置：

（1）一般tomcat7中该段配置默认是注释掉的，去掉注释，按如下添加配置并将默认端口8443改为443（修改原因：实测如果使用8443作为ssl端　　　　　　口,http[http://www.travellight.xyz]重定向时浏览器网址栏中会在域名后带上8443端口如：https://www.travellight.xyz:8443,

　　　　直接用https://www.travellight.xyz无法访问网站，使用443端口则不存在此问题）