Windows Tomcat 配置Let’s Encrypt证书

acme.sh
Cygwin
cygwin crontab
tomcat 8.5 ssl doc
tomcat 8.5 config-http
cygpath

acme.sh

Windows平台下自动生成替换Let's Encrypt证书，比Linux麻烦一些，Linux平台下有很多免费的工具，Windows下要么收费，要么使用麻烦。

这里选择使用acme.sh，在Windows平台，可以通过安装Cygwin来使用acme.sh。
Cygwin中选择安装 curl, nc, cron, cygrunsrv

cygwin

安装完成后，以管理员身份运行cygwin，执行:

$ cron-config
Do you want to remove or reinstall it (yes/no) yes
Do you want to install the cron daemon as a service? (yes/no) yes
Enter the value of CYGWIN for the daemon: [ ] ntsec
Do you want the cron daemon to run as yourself? (yes/no) no
Do you want to start the cron daemon as a service now? (yes/no) yes

安装acme.sh

curl https://get.acme.sh | sh

生成证书

./acme.sh --issue -d <domain> --standalone

证书生成后，将证书转成PKCS12格式，方便配置Tomcat

acme.sh --toPkcs -d <domain> --password <password>

配置Tomcat

这里使用Tomcat 8.5.9版本，将生成的pfx文件COPY到Tomcat下的conf目录，修改server.xml配置文件：

<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" URIEncoding="UTF-8" redirectPort="443" />

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" secure="true" URIEncoding="UTF-8" useBodyEncodingForURI="true">
    <SSLHostConfig certificateVerification="none">
        <Certificate certificateKeystoreFile="conf/<domain>.pfx" certificateKeystoreType="PKCS12" certificateKeystorePassword="<password>" certificateKeyAlias="<keyAlias>"/>
    </SSLHostConfig>
</Connector>    

<Connector port="8009" protocol="AJP/1.3" redirectPort="443" URIEncoding="UTF-8" />

配置中的证书名称、密码和别名，替换成你的真实值

查看证书别名：

keytool -list -v -keystore <path><keystore-name>.pfx -storepass <password>

在Cygwin中 通过 cygpath 将windows路径转成Linux路径，方便在Cygwin中使用：

$ cygpath D:\ssl -a
/cygdrive/d/ssl

# 复制证书到D:\ss目录
$ cp /home/Administrator/.acme.sh/<domain>/<domain>.pfx /cygdrive/d/ssl

---

自动续签证书的问题

Let's Encrypt 证书只有三个月有效期，在Linux上自动替换证书，然后重启Tomcat比较方便，可以参考 这里。
Windows上怎么搞，用cygwin执行定时脚本，问题是如何在cygwin中重启Tomcat服务？参考cygwin邮件列表，通过以下方式可以在cygwin中启动Windows服务：

# 启动
cygrunsrv -S  <serviceName>
# 停止
cygrunsrv -E <serviceName>
# Remove 删除
cygrunsrv -R <serviceName>
# 查看帮助
cygrunsrv -h

既然cygwin中可以启动windows服务，那应该可以做到自动更新证书，利用hook机制，在renew后重启Tomcat，如下（注意该脚本未测试，仅供参考）：

# 生成证书时，添加renew-hook
acme.sh --issue -d <domain> --standalone --renew-hook "sh renew-tomcat.sh"

renew-tomcat.sh

#/bin/sh

# 将证书转成PKCS12格式
acme.sh --toPkcs -d <domain> --password <password>
# 备份证书
mv /cygdrive/d/ssl/<domain>.pfx /cygdrive/d/ssl/<domain>`date '+%Y-%m-%d'`.pfx
# 复制到指定目录
cp /home/Administrator/.acme.sh/<domain>/<domain>.pfx /cygdrive/d/ssl
# 重启tomcat服务
cygrunsrv -E Tomcat8
cygrunsrv -S Tomcat8

---

使用letsencrypt-win-simple可以参考：

http://www.cnblogs.com/blog5277/p/6375473.html