Linux上Tomcat配置HTTPS協議
- 配置jdk環境(自行百度)很簡單不陳述
- 將下載的tomcat放在linux環境解壓
- 配置java環境變數
具體路徑根據java安裝路徑來決定 - 在tomcat安裝目錄的bin目錄下 執行 sh startup.sh
如果報此錯誤 說明許可權問題不夠
解決方法:在bin目錄下執行chmod +x *.sh 重新啟動即可
7. 如果做好上面四個步驟 tomcat測試連線是否能成功 如果有多個tomcat請參考
https://www.cnblogs.com/kingsonfu/p/9778516.html
下面配置https
1. 準備
需要建立支援HTTPS的WEB伺服器所要做的第一件事就是獲得數字證書。數字證書可以在以下任一方法來獲得。
- 自簽名證書被推薦用於測試目的和個人專案。自簽名證書,也可以用於服務提供商,不過一般適用於使用者互相信任的情形。另外,自簽名證書不用花錢購買。
- 證書可以由社群為基礎的認證供應商如StartSSL和CACERT辦法。這些證書也不需要花錢,但建議為個人專案。
- 對於全球性商業網站,建議從值得信賴的知名證書頒發機構購買證書。這些證書需要花錢,但他們增加了網路服務提供商的信譽。
2. 為伺服器生成證書
使用keytool為Tomcat生成證書,假定目標機器的域名是“localhost”,keystore檔案想要存放在“/tmp1/tomcat.keystore”,口令為“123456”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -keystore /tmp1/tomcat.keystore -validity 36500
(引數簡要說明:“/tmp1/tomcat.keystore”含義是將證書檔案的儲存路徑(其中/tmp1,是你自己新建的,而tomcat.keystore才是自動生成的,所以要提前在某個路徑下新建某個資料夾,以便放自動生成的檔案,名字可以自己取,後邊統一都用這個資料夾放自動生成的檔案),證書檔名稱是tomcat.keystore ;“-validity 36500”含義是證書有效期,36500表示100年,預設值是90天 “tomcat”為自定義證書名稱)。
注:如果是在window系統上啟用tomcat 這些命令需要在jdk的bin目錄下來執行。
在命令列填寫必要引數:
A、 輸入keystore密碼:此處需要輸入大於6個字元的字串。
C、 你的組織單位名稱是什麼?”、“您的組織名稱是什麼?”、“您所在城市或區域名稱是什麼?”、“您所在的州或者省份名稱是什麼?”、“該單位的兩字母國家程式碼是什麼?”可以按照需要填寫也可以不填寫直接回車,在系統詢問“正確嗎?”時,對照輸入資訊,如果符合要求則使用鍵盤輸入字母“y”,否則輸入“n”重新填寫上面的資訊。
D、 輸入的主密碼,這項較為重要,會在tomcat配置檔案中使用,建議輸入與keystore的密碼一致,設定其它密碼也可以,完成上述輸入後,直接回車則在你在第二步中定義的位置找到生成的檔案。
3,為客戶端生成證書
為瀏覽器生成證書,以便讓伺服器來驗證它。為了能將證書順利匯入至IE和Firefox,證書格式應該是PKCS12,因此,使用如下命令生成:
keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore /tmp1/mykey.p12
(mykey為自定義)。
對應的證書庫存放在“/tmp1/mykey.p12”,(這一塊的解釋與第一步相同)客戶端的CN可以是任意值。雙擊mykey.p12檔案,即可將證書匯入至瀏覽器(客戶端)(我統一勾選的信任於本計算機包括下邊第四部)。
4,讓伺服器信任客戶端證書
由於是雙向SSL認證,伺服器必須要信任客戶端證書,因此,必須把客戶端證書新增為伺服器的信任認證。由於不能直接將PKCS12格式的證書庫匯入,必須先把客戶端證書匯出為一個單獨的CER檔案,使用如下命令:
keytool -export -alias mykey -keystore /tmp1/mykey.p12 -storetype PKCS12 -storepass 123456 -rfc -file /tmp1/mykey.cer
(mykey為自定義與客戶端定義的mykey要一致,123456是你設定的密碼)。通過以上命令,客戶端證書就被我們匯出到“/tmp1/mykey.cer”檔案了。
下一步,是將該檔案匯入到伺服器的證書庫,新增為一個信任證書使用命令如下:
keytool -import -v -file /tmp1/mykey.cer -keystore /tmp1/tomcat.keystore
通過list命令檢視伺服器的證書庫,可以看到兩個證書,一個是伺服器證書,一個是受信任的客戶端證書:
keytool -list -keystore /tmp1/tomcat.keystore
(tomcat為你設定伺服器端的證書名)。
此時可以看到倆個證書 分別叫mykey 和 tomcat 這兩個分別對應的是伺服器端和客戶端當時建的alias裡面後面對應的名稱。
5,讓客戶端信任伺服器證書
由於是雙向SSL認證,客戶端也要驗證伺服器證書,因此,必須把伺服器證書新增到瀏覽的“受信任的根證書頒發機構”。由於不能直接將keystore格式的證書庫匯入,必須先把伺服器證書匯出為一個單獨的CER檔案,使用如下命令:
keytool -keystore /tmp1/tomcat.keystore -export -alias tomcat -file /tmp1/tomcat.cer
(tomcat為你設定伺服器端的證書名)。
通過以上命令,伺服器證書就被我們匯出到“/tmp1/tomcat.cer”檔案了。在windows介面雙擊tomcat.cer檔案,按照提示安裝證書,將證書填入到“受信任的根證書頒發機構”。
5,配置Tomcat伺服器
a、(1)開啟tomcat配置檔案,如:/tmp1/apache-tomcat-6.0.29/conf/server.xml,修改如下,
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
修改引數=>
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443" />
(2)
<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"/>
-->
去掉註釋且修改引數=>(當然也可以不去掉註釋,直接將下邊這段加在上邊這段註釋的後邊,記得更改裡邊的keystoreFile、keystorePass 兩個引數)
註釋:
keystoreFile、keystorePass 兩個引數,分別是證書檔案的位置和的主密碼(位置是剛才自動生成的檔案儲存的位置,密碼是剛才設定的密碼),在證書檔案生成過程中做了設定
(3)
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" />
修改引數=>
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" />
(我的裡邊沒有enableLookups="false"這一項,我也按照上邊的方法加上了這句)
b、開啟D:/apache-tomcat-6.0.29/conf/web.xml,在該檔案後面加上這樣一段:
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
我在做完這個教程後,執行https://localhost發現還有錯誤。再找了幾個教程之後發現需要註釋conf\server.xml檔案中下面一行。
<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->
至此,Tomcat配置https就完成了。
但是會發現:
一、瀏覽器會對 HTTPS 使用危險標識。(下邊部分轉載於https://blog.csdn.net/gane_cheng/article/details/53001846)
和正常的標識不同。看著會讓人很不舒服。
二、瀏覽器預設不會載入非HTTPS域名下的javascript
這和早年的禁用javascript差不多了。已經影響網頁的正常運行了。
三、移動裝置顯示頁面空白
手機瀏覽器開啟頁面,也會像桌面瀏覽器一樣彈出是否載入不受信任的頁面,在微信中開啟則會一片空白。
以上種種,導致自己生成的證書無法在生產環境使用。
解決以上問題,需要購買CA的證書。不過我在阿里雲上看到有免費的證書申請。https://www.aliyun.com/product/cas
① 申請證書
購買過程就不詳細說了。照著阿里雲的提示一步一步做就好了。
證書生成後,會得到PFX型別的證書。
② Tomcat 配置PFX證書
開啟 Tomcat 配置檔案 conf\server.xml。
取消註釋,並新增三個屬性 keystoreFile,keystoreType,keystorePass。
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="/你的磁碟目錄/訂單號.pfx"
keystoreType="PKCS12"
keystorePass="訂單號" />
其中,keystoreFile是PFX證書檔案地址,keystorePass是阿里雲的訂單號,keystoreType直接寫PKCS12 。
③ 測試真實域名
重新啟動Tomcat,訪問你自己的域名,則可以正常使用了。瀏覽器會有綠色的域名標識,移動裝置也正常了。至於http域名下的javascript,還是需要更換為https才能正常載入。
對於要不要使用 https,需要根據實際情況具體考慮,https會比http慢一些,但是會更安全。
在配置tomcat的時候 埠號設定的時候例如設定8080和80的區別就是當你訪問伺服器的時候如果相加上埠號8080就可以訪問,但是在server.xml裡面如果設定成80 就可以不帶埠好直接訪問專案例如 172.18.31.1:8080/example 和 172.18.31.1/example的區別,同理設定8443和443 也是同樣理。