【導讀】
SSL證書到期未及時更新將觸發瀏覽器紅色警示頁，造成訪問流失與品牌信譽受損。掌握規范化的Tomcat證書替換方法，是運維人員保障Web服務連續性與合規性的基本能力。
證書失效已成為高頻生產事故主因之一
據最新統計，超43%的企業HTTPs異常源于證書配置錯誤或逾期未續。Tomcat依賴Java KeyStore（JKS）管理私鑰與證書鏈，而多數故障發生在PEM轉JKS環節密鑰別名不匹配、密碼不一致或中間CA缺失。
在此處添加配圖
四步完成安全可靠的證書替換
確認當前keystore路徑與storepass：查看server.xml中sslProtocol="TLS" ... keystoreFile="/path/to/your.keystore" />參數；
備份原keystore文件并驗證完整性：cp your.keystore your.keystore.bak && keytool -list -v -keystore your.keystore;
導入新證書鏈（含根證+中級CA+域名證書）：keytool -importcert -alias tomcat -file cert.pem -keystore your.keystore -trustcacerts;
重啟Tomcat并校驗端口響應：curl -I https://yoursite.com ，觀察是否返回 HTTP/2 200 及有效證書指紋。