阿里云免費申請https證書

阿里云可以提供一年的免費ssl證書,下面看看如何申請
管理控制臺——產品與服務——SSL證書（應用安全）——購買證書（在右上角），剛進來是需要付費的——Symantec（在點擊增強型 OV SSL就會跳出免費）
點擊免費購買就可以了，這時候獲得是還沒有綁定域名的還無法使用，還需要返回來填寫需要綁定的域名信息，驗證域名然后等待2小時左右就可以下載SSL證書了。

ssl證書

ssl證書2

ssl證書

ssl證書

還可以點擊域名或者云解析DNS，直接在域名下申請證書。

域名解析

域名申請

ssl

ssl域名申請

Tomcat配置https(pfx)

Tomcat的配置有兩種方式pfx和jks（本實驗使用pfx方式）Tomcat7以后才支持pfx的格式，否則需要使用jks，在阿里云下載對應證書（根據安裝需要下載對應的版本），這里下載tomcat版本

下載對應證書

下載解壓后文件：

下載的證書

在tomcat文件夾下新建cert，將cert-1541390494946_test.zhicj.cn.pfx 放置進去

在server.xml配置文件中加入配置：

<Connector port="8443" #根據需要修改端口，如果使用443端口，公網ip需要備案
  protocol="org.apache.coyote.http11.Http11Protocol" #這里需要注意tomcat6和tomcat7的區別
  SSLEnabled="true"
  scheme="https"
  secure="true"
keystoreFile="/opt/tomcat-7.0.79/cert/cert-1541390494946_test.zhicj.cn.pfx"
#這里就是申請pfx文件
  keystoreType="PKCS12"
  keystorePass="EkXEhMoH" #這里的密碼是解壓后passwd中文件
  clientAuth="false"
  SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

配置好防火墻后，重啟tomcat即可測試訪問。
https://綁定的域名：端口
特別注意如果使用IP訪問或者其他解析的域名訪問https都是顯示不安全的。
如果protocol="HTTP/1.1"配置是這個，在tomcat7中報錯：

報錯

原因：
Tomcat提供了兩個SSL實現，一個是JSSE實現，另一個是APR實現。這里使用apr方式因此需要修改為protocol="org.apache.coyote.http11.Http11Protocol"

JKS證書安裝(幫助)

( 1 ) 使用java jdk將PFX格式證書轉換為JKS格式證書(windows環境注意在%JAVA_HOME%/jdk/bin目錄下執行)
keytool -importkeystore -srckeystore 1534713259529.pfx -destkeystore your-name.jks -srcstoretype PKCS12 -deststoretype JKS
回車后輸入JKS證書密碼和PFX證書密碼，強烈推薦將JKS密碼與PFX證書密碼相同，否則可能會導致Tomcat啟動失敗。
( 2 ) 找到安裝 Tomcat 目錄下該文件Server.xml，一般默認路徑都是在 conf 文件夾中。找到

Connection port="8443"標簽，增加如下屬性：
keystoreFile="cert/your-name.jks"
keystorePass="證書密碼"

完整的配置如下，其中port屬性根據實際情況修改：

<Connector port="8443"
    protocol="HTTP/1.1"  #此處特別注意tomcat6？7使用是否APR
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="cert/your-name.jks"
    keystorePass="證書密碼"
    clientAuth="false"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

( 注意:不要直接拷貝所有配置，只需添加 keystoreFile,keystorePass等參數即可，其它參數請根據自己的實際情況修改 )
重啟 Tomcat。
通過 https 方式訪問您的站點，測試站點證書的安裝配置

Nginx配置https

阿里云下載nginx的證書，在nginx目錄下新建crt文件夾，將解壓后兩個文件拷貝到里面。特別注意，如果nginx使用其他啟動賬戶需要有訪問此文檔權限

證書位置

編輯配置

server {
        listen       8443 ssl;
        server_name  localhost; #此處可以修改為申請的證書域名
        ssl_certificate      /home/app/tengine/crt/cert-1541390494946_test.zhicj.cn.crt;
        ssl_certificate_key  /home/app/tengine/crt/cert-1541390494946_test.zhicj.cn.key;
    #此處就是放置ssh證書文件和key文件地方
        ssl_session_cache    shared:SSL:1m; #這些值在實驗默認即可，        
    ssl_session_timeout  5m;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
    }

在實際使用情況根據使用情況修改，SSL證書配置最主機的地方在上面證書放置到正確位置，至于cache、timeout等等根據業務需要調整。Location等配置根據實際情況和server其他配置相同。配置完成以后，
重啟nginx或者使用-s reload 導入配置文件既可以。