遇到 Tomcat 部署 SSL 证书报 keystore 密码错误，最推荐的处理方向是先通过 keytool 命令验证本地密钥库密码，再核对 server.xml 配置，确保密钥库密码与私钥密码一致。

命令速用版

在服务器命令行执行以下命令，输入密码看是否报错：

keytool -list -keystore /path/to/your/keystore.jks

如果提示密码错误，说明记录的密码不对；如果成功列出条目，说明密码正确，问题在 Tomcat 配置。

若已知旧密码需修改为新密码，可使用：

keytool -storepasswd -keystore /path/to/your/keystore.jks -storepass 旧密码 -new 新密码

配置示例代码

打开 Tomcat conf/server.xml，找到 Connector 配置段。确保以下属性值与密钥库信息一致：

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           maxThreads="150" SSLEnabled="true"
           keystoreFile="conf/keystore.jks"
           keystorePass="your_keystore_password"
           keyPass="your_key_password">
</Connector>

注意：Tomcat 8.5+ 推荐使用 SSLHostConfig 配置，但上述属性方式仍常见。若使用 SSLHostConfig，密码配置在 Certificate 节点内。

分步处理

1. 备份配置文件和密钥库文件，防止操作失误导致无法恢复。

2. 打开 Tomcat conf/server.xml，参照上方配置示例，定位 keystoreFile 和 keystorePass 属性。

3. 检查 keystoreFile 路径是否正确（相对路径基于 Tomcat 根目录），keystorePass 值是否与密钥库密码一致。

4. 如果不确定密码，使用上述 keytool 命令测试。若忘记密码，无法直接找回，需执行以下补救流程：

• 重新生成密钥库：keytool -genkey -alias tomcat -keyalg RSA -keystore keystore.jks
• 生成证书请求文件：keytool -certreq -alias tomcat -keystore keystore.jks -file certreq.csr
• 联系证书颁发机构（CA），提交 certreq.csr 申请重发证书。
• 获取新证书后，导入密钥库：keytool -import -alias tomcat -file cert.cer -keystore keystore.jks

5. 确保 keyPass 属性（如果有）与 keystorePass 相同，除非你明确配置了不同的私钥密码。

6. 保存文件，重启 Tomcat 服务。

怎么验证是否生效

查看 logs/catalina.out 或 logs/catalina.YYYY-MM-DD.log，搜索 "Initializing ProtocolHandler" 或 "Starting Servlet Engine"，确认没有 java.io.IOException: Keystore was tampered with, or password was incorrect 异常。

服务端验证命令：

openssl s_client -connect 你的域名:8443 -servername 你的域名

在浏览器访问 https://你的域名:端口，检查锁形图标是否正常，无证书警告。

常见坑

1. 密码中包含特殊字符（如 &、<、!），在 XML 文件中可能需要转义或直接使用 CDATA 包裹。

2. Tomcat 8.5 及更高版本默认要求密钥库密码和私钥密码必须相同，否则需显式配置 keyPass。

3. 复制粘贴密码时带入空格或换行符，导致验证失败。

4. 密钥库类型不匹配，如配置了 type="JKS" 但实际文件是 PKCS12 格式。

参考来源

Apache Tomcat Documentation - SSL How-To

https://tomcat.apache.org/tomcat-9.0-doc/ssl-howto.html