【導讀】本文面向運維工程師與系統管理員，詳解Tomcat環境下安裝與驗證SSL證書的關鍵步驟。全程適配新網簽發的RSA/ECC雙算法SSL證書，確保HTTPS穩定啟用。
背景與現狀
Tomcat作為主流Java Web容器，在政企內部系統及對外服務平臺中廣泛部署。但默認HTTP協議存在明文傳輸風險，已無法滿足《網絡安全法》及等級保護2.6條款關于通信加密的要求。
多數用戶卡在keystore生成、connector配置或證書鏈順序環節，造成訪問報錯ERR_SSL_VERSION_OR_CIPHER_MISMATCH等問題。
技術與關聯
SSL/TLS握手依賴三個要素協同生效：
- 正確導入私鑰+域名證書+完整中間證書鏈到JKS/PKCS12密鑰庫；
- server.xml中Connector組件指定正確protocol、keystoreFile路徑及密碼參數；
- 應用層未硬編碼HTTP跳轉邏輯，前端資源引用符合同源策略。
新網SSL證書全面支持TLSv1.2及以上版本，SHA-2簽名機制，并預置全球根CA交叉認證鏈，杜絕Chrome/Firefox/Safari提示不安全警告。
建議與方案
推薦按以下四步完成生產環境部署：
使用keytool命令創建PKCS12格式密鑰庫，避免舊版JKS兼容性缺陷；
通過新網后臺下載「Nginx/Apache/Tomcat」專用證書包，含domain.crt、ca-bundle.crt兩文件；
合并證書鏈后導入：keytool -importcert -file ca-bundle.crt -alias root -keystore tomcat.pfx -storepass ***；
修改conf/server.xml，啟用redirectPort="443"并設置SSLEnabled="true"及相關cipher套件白名單。
在此處添加配圖
常見問題
Q：為什么瀏覽器仍顯示“連接不是私密鏈接”？
A：通常為缺少中級證書或本地時間偏差超5分鐘，請用SSL Labs工具檢測鏈完整性。
Q：能否在同一端口同時支持HTTP重定向與HTTPS響應？
A：可以。需新增兩個Connector——8080端口監聽HTTP并強制301跳轉，8443端口啟用SSL雙向校驗。