感觉阿里的太繁琐，这要认证那要认证的，实在忍受不了，果断选国外的COMODO，一年也就169。

过程：

1、购买好证书，填写对应资料，找一个网上生成CSR的在线工具，将生成的私钥保存好（请务必保存好私钥key文件，证书安装的时候需要用到）

2、再这里可能需要做个域名所有权的认证，可以通过邮箱、DNS校验，校验通过后，很快就会把证书发送至你的邮箱。

3、下载证书，里面一般有四个主要文件，利用在线工具https://www.chinassl.net/ssltools/convert-ssl.html 合成pfx格式，各项选择如图：

 

4、这里我有两台服务器，一台是tomcat直接运行在宿主机上的，一台tomcat运行在docker容器中，运行在宿主机上的tomcat配置较简单，修改server.xml配置文件即可，记得将8443端口改成443，重启tomcat。

容器中的由于之前的运维部署的，不清楚具体run需要传递或映射哪些文件路径，所以这里不采用run映射的方式配置。配置流程：docker exec -it tomcat /bin/bash 命令进入容器，创建用于存放证书的路径，使用‘docker cp /本地  容器：容器路径 ’将宿主机上的证书传入docker容器中 ，修改server.xml配置文件，docker inspect tomcat | grep IPAddress 查看容器IP ，iptables -t nat -A  DOCKER -p tcp --dport 443 -j DNAT --to-destination 172.17.0.3:443 将宿主机443端口映射到docker容器中。至此整个证书的部署算是完成了，这里不建议大家采用这种方式部署，因为如果下次重新run一次容器，那所有的配置就都失效了。

5、最后附上一点关于tomcat如何将所有http请求自动跳转为https，在web.conf文件</welcome-file-list>中加这样一段：

<login-config>  

    <!-- Authorization setting for SSL -->  

    <auth-method>CLIENT-CERT</auth-method>  

    <realm-name>Client Cert Users-only Area</realm-name>  

</login-config>  

<security-constraint>  

    <!-- Authorization setting for SSL -->  

    <web-resource-collection >  

        <web-resource-name >SSL</web-resource-name>  

        <url-pattern>/*</url-pattern>  

    </web-resource-collection>  

    <user-data-constraint>  

        <transport-guarantee>CONFIDENTIAL</transport-guarantee>  

    </user-data-constraint>  

</security-constraint>