一、准备工作

1.获取PFX证书文件及密码

从证书颁发机构（CA）获取PFX格式的SSL证书文件。这个文件通常包含了证书、私钥以及中间证书（如果有的话）。同时，要记录下证书的密码，这是在后续步骤中导入证书到密钥库时需要使用的。

2.备份重要文件

在进行任何配置更改之前，备份Tomcat的重要文件，如 server.xml（位于 Tomcat安装目录/conf/）和 web.xml（位于 Tomcat安装目录/conf/）等。这可以在出现问题时方便恢复。

二、创建或转换密钥库

1.创建Java密钥库（JKS）（如果没有）

Tomcat主要使用JKS来存储证书相关信息。如果没有现成的JKS，可以使用Java自带的 keytool 命令创建一个。打开命令行终端，进入Java的安装目录（JDK安装目录/bin/），执行以下命令：

   keytool -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore -keysize 2048

按照提示输入密钥库密码、姓名、组织单位、组织、城市、州、国家代码等信息。这将生成一个新的密钥库文件 tomcat.keystore ，其中包含一个自签名证书和对应的密钥。不过，我们后续会将PFX证书导入这个密钥库，这个自签名证书可能会被替换。

2.将PFX证书导入密钥库

同样在Java安装目录的 bin 文件夹下，使用 keytool 命令将PFX证书导入到JKS中。假设PFX证书文件名为 your_certificate.pfx ，密码为 your_password ，执行以下命令：

   keytool -importkeystore -srckeystore your_certificate.pfx -srcstoretype PKCS12 -destkeystore tomcat.keystore -deststoretype JKS

命令执行过程中，系统会要求输入PFX证书的密码（ your_password ），以及目标密钥库（ tomcat.keystore ）的密码（如果是新创建的密钥库，就是之前创建时输入的密码）。导入完成后，PFX证书及其相关信息（包括私钥）就存储在了 tomcat.keystore 中。

三、配置Tomcat服务器

1.编辑server.xml文件

找到Tomcat安装目录下的 conf/server.xml 文件，用文本编辑器打开。在文件中找到</Service>标签之前的<Connector>元素部分。如果没有用于SSL配置的<Connector>，可以添加一个新的。示例配置如下：

   <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true">
       <SSLHostConfig>
           <Certificate certificateKeystoreFile="路径/tomcat.keystore"
                        certificateKeystorePassword="密钥库密码"
                        certificateKeyAlias="tomcat" />
       </SSLHostConfig>
   </Connector>

其中，port 属性指定了HTTPS服务的端口号，通常为443；certificateKeystoreFile 属性的值是前面创建或转换得到的密钥库文件（ tomcat.keystore ）的完整路径；certificateKeystorePassword 是密钥库的密码； certificateKeyAlias 是证书在密钥库中的别名，这里假设为 tomcat （如果在导入证书或创建密钥库时有不同的别名，需要修改这个值）。

2.配置访问限制（可选）

如果需要对访问进行客户端证书验证，可以在 <Connector> 元素中添加 clientAuth 属性。例如：

   <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" clientAuth="true">
       <SSLHostConfig>
           <Certificate certificateKeystoreFile="路径/tomcat.keystore"
                        certificateKeystorePassword="密钥库密码"
                        certificateKeyAlias="tomcat" />
       </SSLHostConfig>
   </Connector>

clientAuth 属性的值可以是 true（强制客户端提供有效证书进行身份验证）、false（不要求客户端证书验证，这是默认值）或 want（优先尝试客户端证书验证，如果客户端没有提供则允许继续连接）。

四、测试配置

1.重启Tomcat服务器

完成 server.xml 文件的配置后，保存文件并重启Tomcat服务器。在Tomcat安装目录的 bin 文件夹下，根据操作系统执行相应的脚本。在Windows系统中，运行 startup.bat ；在Linux系统中，运行 startup.sh 。

2.验证SSL配置

打开浏览器，输入 https://你的域名（将 你的域名 替换为实际配置了SSL证书的域名）。如果配置成功，浏览器的地址栏会显示锁形图标，表示连接是安全的，并且可以正常访问网站或应用的页面。同时，可以查看Tomcat的日志文件（如 catalina.out 等），检查是否有与SSL配置相关的错误信息。如果在访问过程中出现问题，如无法连接或证书错误，可以根据日志文件中的提示来排查和解决故障。

Dogssl.com拥有20年网络安全服务经验，提供构涵盖国际CA机构Sectigo、Digicert、GeoTrust、GlobalSign，以及国内CA机构CFCA、沃通、上海CA等数十个SSL证书品牌。全程技术支持及免费部署服务，如您有SSL证书需求，欢迎联系!