步驟 3：設定 Tomcat Web 伺服器

更新 Web 伺服器軟體組態，以使用 HTTPS 憑證以及您在 上一個步驟中建立的對應 PEM 檔案。請記得在開始之前備份現有的憑證和金鑰。這將完成針對 SSL/TLS 卸載搭配 AWS CloudHSM設定您的 Linux Web 伺服器軟體。如需詳細資訊，請參閱 Apache Tomcat 9 組態參考。

停止伺服器

• 用特定數據替換以下<VARIABLES>後，請運行以下命令以在更新組態之前停止 Tomcat 伺服器。

  $ /<TOMCAT DIRECTORY>/bin/shutdown.sh

  • <TOMCAT DIRECTORY>：Tomcat 安裝目錄。

更新 Tomcat 類別路徑

1. 連接至您的用戶端執行個體。

2. 找到 Tomcat 安裝資料夾。

3. 用特定數據替換下面的<VARIABLES>後，使用下面的命令向 Tomcat 類路徑添加 Java 庫和 CloudHSM Java 路徑 (位於 Tomcat/bin/catalina.sh 檔案)。

   $ sed -i 's@CLASSPATH="$CLASSPATH""$CATALINA_HOME"\/bin\/bootstrap.jar@CLASSPATH="$CLASSPATH""$CATALINA_HOME"\/bin\/bootstrap.jar:'"
           <JAVA LIBRARY>"'\/*:\/opt\/cloudhsm\/java\/*:.\/*@' <TOMCAT PATH> /bin/catalina.sh

   • <JAVA LIBRARY>：Java JRE 程式庫位置。

   • <TOMCAT PATH>：Tomcat 安裝資料夾。

在伺服器組態中新增 HTTPS 連接器。

1. 前往 Tomcat 安裝資料夾。

2. 用特定數據替換下面的<VARIABLES>後，請使用下列命令新增 HTTPS 連接器，以使用必要條件中產生的憑證：

   $ sed -i '/<Connector port="8080"/i <Connector port=\"443\" maxThreads=\"200\" scheme=\"https\" secure=\"true\" SSLEnabled=\"true\" keystoreType=\"CLOUDHSM\" keystoreFile=\"
           <CUSTOM DIRECTORY>/<JSSE KEYSTORE NAME>.keystore\" keystorePass=\"<KEYSTORE PASSWORD>\" keyPass=\"<KEY PASSWORD>
           \" keyAlias=\"<UNIQUE ALIAS FOR KEYS>" clientAuth=\"false\" sslProtocol=\"TLS\"/>' <TOMCAT PATH>/conf/server.xml

   • <CUSTOM DIRECTORY>：金鑰存放區檔案所在的目錄。

   • <JSSE KEYSTORE NAME>：金鑰存放區檔案的名稱。

   • <KEYSTORE PASSWORD>：這是本機金鑰存放區檔案的密碼。

   • <KEY PASSWORD>：我們會將您金鑰的參考儲存在本機金鑰儲存檔案中，而此密碼會保護該本機參考。

   • <UNIQUE ALIAS FOR KEYS>：這是用於唯一識別 HSM 上的金鑰。此別名將被設置為金鑰的 LABEL 屬性。

   • <TOMCAT PATH>：Tomcat 資料夾的路徑。

啟動伺服器

• 用特定數據替換以下<VARIABLES>後，使用以下命令啟動 Tomcat 伺服器：

  $ /<TOMCAT DIRECTORY>/bin/startup.sh

  注意

  <TOMCAT DIRECTORY>是您的 Tomcat 安裝目錄的名稱。

在更新您的 Web 伺服器組態之後，請前往 步驟 4：啟用 HTTPS 流量並驗證憑證。