🛠 Instalação SSL

Configurando SSL no Apache Tomcat

Instale seu certificado SSL no Apache Tomcat usando Java KeyStore (JKS) e o keytool.

Atualizado: Abril 2026 · GlobalSign Partner · Suporte em PT-BR

O Apache Tomcat utiliza o formato Java KeyStore (JKS) para armazenar certificados e chaves. Todo o gerenciamento é feito pela ferramenta de linha de comando keytool, incluída no JDK/JRE. Este guia cobre a criação do JKS, importação da cadeia de certificados e configuração do conector SSL.

Pré-requisitos

Java instalado (JDK ou JRE). Caso não tenha, baixe e instale em java.com/pt_BR/download. Verifique com:

Terminal 
java -version

Certificado SSL emitido pela CA (arquivo .cer ou .crt) recebido por e-mail.

Certificado raiz e certificado intermediário da CA em formato .cer. Faça o download em support.globalsign.com/ca-certificates.

Acesso ao prompt de comando (cmd) ou terminal como administrador.

Passo a passo

1

Abrir o terminal no diretório do Java

Abra o prompt de comando (cmd) ou terminal como administrador e navegue até o diretório bin da instalação do Java:

Windows (exemplo) 
cd "C:\Program Files\Java\jre1.8.0_144\bin"
Linux / macOS 
cd /usr/lib/jvm/java-8-openjdk/bin

Nos comandos abaixo, substitua meusite pelo nome do seu domínio (sem pontos) para facilitar a identificação.

2

Gerar o arquivo JKS e a CSR

Primeiro, gere o Java KeyStore com o par de chaves:

Gerar JKS 
keytool -genkey -alias meusite -keyalg RSA -keystore meusite.jks -keysize 2048

Preencha os dados solicitados (nome, organização, cidade, estado, país). Em seguida, gere a CSR a partir do JKS criado:

Gerar CSR 
keytool -certreq -alias meusite -keystore meusite.jks -file meusite.csr

Envie o conteúdo do arquivo meusite.csr para suporte@sinsi.online para emissão do certificado. Após a emissão, prossiga com os passos abaixo.

3

Importar o certificado raiz para o JKS

Importe o certificado raiz da CA. Ajuste o nome do arquivo conforme necessário:

Importar raiz 
keytool -import -trustcacerts -alias root -file raiz.cer -keystore meusite.jks

Quando perguntado "Trust this certificate?", responda yes.

4

Importar o certificado intermediário para o JKS

Importar intermediário 
keytool -import -trustcacerts -alias intermediate -file intermediate.cer -keystore meusite.jks
5

Importar o certificado do servidor (chave pública)

Por último, importe o certificado SSL que você recebeu por e-mail após a emissão:

Importar certificado do servidor 
keytool -import -trustcacerts -alias meusite -file meusite.cer -keystore meusite.jks

O alias usado aqui deve ser o mesmo alias utilizado na criação do JKS (passo 2). Isso vincula o certificado à chave privada correspondente.

6

Configurar o conector SSL no server.xml

Localize o arquivo server.xml do Tomcat (geralmente em $CATALINA_HOME/conf/server.xml) e configure o conector SSL:

server.xml — conector SSL 
<Connector port="443"
           maxHttpHeaderSize="8192"
           maxThreads="150"
           minSpareThreads="25"
           maxSpareThreads="75"
           enableLookups="false"
           disableUploadTimeout="true"
           acceptCount="100"
           scheme="https"
           secure="true"
           SSLEnabled="true"
           clientAuth="false"
           sslProtocol="TLS"
           keyAlias="meusite"
           keystoreFile="/caminho/para/meusite.jks"
           keystorePass="senha_do_jks" />

Substitua /caminho/para/meusite.jks pelo caminho real do arquivo JKS e senha_do_jks pela senha definida na criação do KeyStore.

Guarde a senha do JKS em local seguro. Sem ela, não será possível acessar o KeyStore.

7

Reiniciar o Tomcat e verificar a instalação

Reinicie o Apache Tomcat para aplicar as configurações. Após o reinício, verifique a instalação em SSL Labs.

Precisa de ajuda?

Suporte técnico especializado em português. Nossa equipe responde por e-mail.

suporte@sinsi.online