今日為降低專案風險，先把手頭功能開發停下來，搞搞SSL證書。

1 先申請一個SSL證書，申請了一個免費一年的， AsiaTrust，當然申請證書要有域名才行。

2 下載證書檔案，因為是通過騰訊雲申請的，所以自動生成了Tomcat的JKS檔案。

3 把證書放到tomcat conf目錄下，配置tomcat 的server.xml以及web.xml

Server.xml

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme
 
="https" secure="true"
keystoreFile="conf/cert.jks"
keystorePass="****!"
clientAuth="false" sslProtocol="TLS" />

Web.xml

<security-constraint>
<web-resource-collection>
<web-resource-name>Secured</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection
 
>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>

4 用 bin/configtest.sh測試一下，注意非root使用者不能繫結<1024的port。

可以採用centos iptables進行轉發,不贅述。

5 用瀏覽器 https://和http分別訪問，可以看到如下小鎖。http訪問會自動轉發至https

6 小程式上，在小程式後臺將request合法域名填寫，並且在開發工具中右上角，點選詳情-專案配置。

重新整理一下域名 資訊。

轉到本地設定，將”不校驗合法域名“打勾去掉。

ok!