Tomcat启用HTTPS协议配置过程
Article1較為簡潔,Article2較為詳細(xì),測試可行。
Article1
概念簡介
Tomcat 服務(wù)器是一個免費(fèi)的開放源代碼的Web 應(yīng)用服務(wù)器,屬于輕量級應(yīng)用服務(wù)器,在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的場合下被普遍使用,是開發(fā)和調(diào)試 JSP 程序的首選。
HTTP 超文本傳輸協(xié)議(HTTP,HyperText Transfer Protocol)是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。所有的WWW文件都必須遵守這個標(biāo)準(zhǔn)。
HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版。
HTTPS和HTTP的區(qū)別
一、HTTP 是超文本傳輸協(xié)議,信息是明文傳輸,HTTPS 則是具有安全性的 SSL 加密傳輸協(xié)議。
二、HTTPS 協(xié)議需要到 CA 申請證書,一般免費(fèi)證書很少,需要交費(fèi)。
三、HTTP 和 HTTPS 使用的是完全不同的連接方式,用的端口也不一樣,前者是 80,后者是 443。
四、HTTP 的連接很簡單,是無狀態(tài)的;HTTPS 協(xié)議是由 SSL+HTTP 協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,比 HTTP 協(xié)議安全。
本地模擬測試開啟過程
HTTPS 如果生產(chǎn)環(huán)境應(yīng)用在域名上是需要直接或間接的從 CA 申請證書,來取得瀏覽器的信任的。我們先在本地模擬測試一下這個過程,自己生成證書,后面介紹域名啟用 HTTPS。
① keytool工具生成證書
打開 JDK 自帶的 keytool 目錄。
?
按住 Shift 鍵,同時右鍵點(diǎn)擊空白處。
?
此時,進(jìn)入cmd窗口。輸入下面命令。
keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\tomcat.keystore"接著會讓你填寫一些基本信息。
?
下面簡要介紹一下。
密鑰庫口令:123456(這個密碼非常重要) 名字與姓氏:192.168.0.110(以后訪問的域名或IP地址,非常重要,證書和域名或IP綁定) 組織單位名稱:anything(隨便填) 組織名稱:anything(隨便填) 城市:anything(隨便填) 省市自治區(qū):anything(隨便填) 國家地區(qū)代碼:anything(隨便填)② 應(yīng)用證書到Tomcat
打開 Tomcat 配置文件?conf\server.xml。
取消注釋,并添加兩個屬性?keystoreFile,keystorePass。
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="E:/tomcat.keystore" keystorePass="123456" />?
其中,keystoreFile是上一步生成的證書文件地址,keystorePass是上一步的密鑰庫口令。
③ 測試HTTPS
測試鏈接類似于這種?https://192.168.0.110:8443/your_project_name。
觀察Tomcat輸出日志會發(fā)現(xiàn)異常。
嚴(yán)重: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"] java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL with APRat org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:484) at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:566) at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:417) at org.apache.catalina.connector.Connector.initInternal(Connector.java:956) at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102) at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)解決方法是注釋conf\server.xml文件中下面一行。
<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->重啟Tomcat ,這時可以看到瀏覽器已經(jīng)可以打開 HTTPS 鏈接了。
?
---------------------
作者:Gane_Cheng
來源:CSDN
原文:https://blog.csdn.net/gane_cheng/article/details/53001846
版權(quán)聲明:本文為博主原創(chuàng)文章,轉(zhuǎn)載請附上博文鏈接!
?
Article2
1、為服務(wù)器生成證書
進(jìn)入控制臺,切換到%JAVA_HOME%/bin目錄,具體操作略。(打開DOS窗口,通過命令進(jìn)入到j(luò)dk的bin目錄下。下邊所有步驟都是在此路徑下完成。)
使用keytool為Tomcat生成證書,假定目標(biāo)機(jī)器的域名是“localhost”,keystore文件想要存放在“D:\home\tomcat.keystore”,口令為“password”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500(參數(shù)簡要說明:“D:\home\tomcat.keystore”含義是將證書文件的保存路徑(其中D:\home,是你自己新建的,而tomcat.keystore才是自動生成的,所以要提前在某個盤下新建某個文件夾,以便放自動生成的文件,名字可以自己取,后邊統(tǒng)一都用這個文件夾放自動生成的文件),證書文件名稱是tomcat.keystore ;“-validity 36500”含義是證書有效期,36500表示100年,默認(rèn)值是90天 “tomcat”為自定義證書名稱)。
在命令行填寫必要參數(shù):
A、 輸入keystore密碼:此處需要輸入大于6個字符的字符串。
B、 “您的名字與姓氏是什么?”這是必填項(xiàng),并且必須是TOMCAT部署主機(jī)的域名或者IP[如:gbcom.com 或者 10.1.25.251](就是你將來要在瀏覽器中輸入的訪問地址),否則瀏覽器會彈出警告窗口,提示用戶證書與所在域不匹配。在本地做開發(fā)測試時,應(yīng)填入“l(fā)ocalhost”。(這塊很重要)
C、 你的組織單位名稱是什么?”、“您的組織名稱是什么?”、“您所在城市或區(qū)域名稱是什么?”、“您所在的州或者省份名稱是什么?”、“該單位的兩字母國家代碼是什么?”可以按照需要填寫也可以不填寫直接回車,在系統(tǒng)詢問“正確嗎?”時,對照輸入信息,如果符合要求則使用鍵盤輸入字母“y”,否則輸入“n”重新填寫上面的信息。
D、 輸入<tomcat>的主密碼,這項(xiàng)較為重要,會在tomcat配置文件中使用,建議輸入與keystore的密碼一致,設(shè)置其它密碼也可以,完成上述輸入后,直接回車則在你在第二步中定義的位置找到生成的文件。
2、為客戶端生成證書
為瀏覽器生成證書,以便讓服務(wù)器來驗(yàn)證它。為了能將證書順利導(dǎo)入至IE和Firefox,證書格式應(yīng)該是PKCS12,因此,使用如下命令生成:
(mykey為自定義)。
對應(yīng)的證書庫存放在“D:\home\mykey.p12”,(這一塊的解釋與第一步相同)客戶端的CN可以是任意值。雙擊mykey.p12文件,即可將證書導(dǎo)入至瀏覽器(客戶端)(我統(tǒng)一勾選的信任于本計算機(jī)包括下邊第四部)。
?
3、讓服務(wù)器信任客戶端證書
由于是雙向SSL認(rèn)證,服務(wù)器必須要信任客戶端證書,因此,必須把客戶端證書添加為服務(wù)器的信任認(rèn)證。由于不能直接將PKCS12格式的證書庫導(dǎo)入,必須先把客戶端證書導(dǎo)出為一個單獨(dú)的CER文件,使用如下命令:
keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer(mykey為自定義與客戶端定義的mykey要一致,password是你設(shè)置的密碼)。通過以上命令,客戶端證書就被我們導(dǎo)出到“D:\home\mykey.cer”文件了。
下一步,是將該文件導(dǎo)入到服務(wù)器的證書庫,添加為一個信任證書使用命令如下:
keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore通過list命令查看服務(wù)器的證書庫,可以看到兩個證書,一個是服務(wù)器證書,一個是受信任的客戶端證書:
keytool -list -keystore D:\home\tomcat.keystore?(tomcat為你設(shè)置服務(wù)器端的證書名)。
?
4、讓客戶端信任服務(wù)器證書
由于是雙向SSL認(rèn)證,客戶端也要驗(yàn)證服務(wù)器證書,因此,必須把服務(wù)器證書添加到瀏覽的“受信任的根證書頒發(fā)機(jī)構(gòu)”。由于不能直接將keystore格式的證書庫導(dǎo)入,必須先把服務(wù)器證書導(dǎo)出為一個單獨(dú)的CER文件,使用如下命令:
keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer?
?(tomcat為你設(shè)置服務(wù)器端的證書名,這一步我當(dāng)時不知道前邊這半句所說的證書名是哪個,所以沒有更改,直接按照上邊的命令做的運(yùn)行)。
通過以上命令,服務(wù)器證書就被我們導(dǎo)出到“D:\home\tomcat.cer”文件了。雙擊tomcat.cer文件,按照提示安裝證書,將證書填入到“受信任的根證書頒發(fā)機(jī)構(gòu)”。
5、配置Tomcat服務(wù)器
a、(1)打開tomcat配置文件,如:D:/apache-tomcat-6.0.29/conf/server.xml,修改如下,
<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" /> 修改參數(shù)=><Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" /> (記得嘗試第一個教程時候說讓把8080改成8083,最后沒有成功。在這里就按照上邊的改法去改)?
?
(2)
<!-- <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS"/> -->?
去掉注釋且修改參數(shù)=>(當(dāng)然也可以不去掉注釋,直接將下邊這段加在上邊這段注釋的后邊,記得更改里邊的keystoreFile、keystorePass 兩個參數(shù))
?
注釋:
keystoreFile、keystorePass 兩個參數(shù),分別是證書文件的位置和<tomcat>的主密碼(位置是剛才自動生成的文件存儲的位置,密碼是剛才設(shè)置的密碼),在證書文件生成過程中做了設(shè)置
(3)
?
修改參數(shù)=>
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" />?
(我的里邊沒有enableLookups="false"這一項(xiàng),我也按照上邊的方法加上了這句)
?
b、打開D:/apache-tomcat-6.0.29/conf/web.xml,在該文件</welcome-file-list>后面加上這樣一段:
<login-config> <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name> </login-config> <security-constraint> <!-- Authorization setting for SSL --> <web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>?
我在做完這個教程后,運(yùn)行https://localhost發(fā)現(xiàn)還有錯誤。再找了幾個教程之后發(fā)現(xiàn)需要注釋conf\server.xml文件中下面一行。
?
至此,Tomcat配置https就完成了。
但是會發(fā)現(xiàn):
一、瀏覽器會對 HTTPS 使用危險標(biāo)識。(下邊部分轉(zhuǎn)載于https://blog.csdn.net/gane_cheng/article/details/53001846)
?
和正常的標(biāo)識不同。看著會讓人很不舒服。
二、瀏覽器默認(rèn)不會加載非HTTPS域名下的javascript
?
我了個擦,這和早年的禁用javascript差不多了。已經(jīng)影響網(wǎng)頁的正常運(yùn)行了。
三、移動設(shè)備顯示頁面空白
手機(jī)瀏覽器打開頁面,也會像桌面瀏覽器一樣彈出是否加載不受信任的頁面,在微信中打開則會一片空白。
以上種種,導(dǎo)致自己生成的證書無法在生產(chǎn)環(huán)境使用。
解決以上問題,需要購買CA的證書。不過我在阿里云上看到有免費(fèi)的證書申請。https://www.aliyun.com/product/cas
① 申請證書
購買過程就不詳細(xì)說了。照著阿里云的提示一步一步做就好了。
證書生成后,會得到PFX類型的證書。
② Tomcat 配置PFX證書
打開 Tomcat 配置文件?conf\server.xml。
取消注釋,并添加三個屬性?keystoreFile,keystoreType,keystorePass。
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="/你的磁盤目錄/訂單號.pfx"keystoreType="PKCS12"keystorePass="訂單號" />其中,keystoreFile是PFX證書文件地址,keystorePass是阿里云的訂單號,keystoreType直接寫PKCS12 。
③ 測試真實(shí)域名
重新啟動Tomcat,訪問你自己的域名,則可以正常使用了。瀏覽器會有綠色的域名標(biāo)識,移動設(shè)備也正常了。至于http域名下的javascript,還是需要更換為https才能正常加載。
對于要不要使用 https,需要根據(jù)實(shí)際情況具體考慮,https會比http慢一些,但是會更安全。
---------------------
作者:君臨四海
來源:CSDN
原文:https://blog.csdn.net/weixin_40128423/article/details/81536715
版權(quán)聲明:本文為博主原創(chuàng)文章,轉(zhuǎn)載請附上博文鏈接!
?
轉(zhuǎn)載于:https://www.cnblogs.com/ryelqy/p/11208012.html
總結(jié)
以上是生活随笔為你收集整理的Tomcat启用HTTPS协议配置过程的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: java.lang.Error: Unr
- 下一篇: 【快报】基于K2 BPM的新一代协同办公