Tomcat啟用HTTPS協議配置過程

轉載請注明出處：

http://blog.csdn.net/gane_cheng/article/details/53001846

http://www.ganecheng.tech/blog/53001846.html （瀏覽效果更好）

本文將講解HTTPS協議在Tomcat中啟用是如何配置的。

概念簡介

Tomcat 服務器是一個免費的開放源代碼的Web 應用服務器，屬于輕量級應用服務器，在中小型系統和并發訪問用戶不是很多的場合下被普遍使用，是開發和調試 JSP 程序的首選。

HTTP 超文本傳輸協議（HTTP，HyperText Transfer Protocol)是互聯網上應用最為廣泛的一種網絡協議。所有的WWW文件都必須遵守這個標準。

HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。

HTTPS和HTTP的區別

一、HTTP 是超文本傳輸協議，信息是明文傳輸，HTTPS 則是具有安全性的 SSL 加密傳輸協議。

二、HTTPS 協議需要到 CA 申請證書，一般免費證書很少，需要交費。

三、HTTP 和 HTTPS 使用的是完全不同的連接方式，用的端口也不一樣，前者是 80，后者是 443。

四、HTTP 的連接很簡單，是無狀態的；HTTPS 協議是由 SSL+HTTP 協議構建的可進行加密傳輸、身份認證的網絡協議，比 HTTP 協議安全。

本地模擬測試開啟過程

HTTPS 如果生產環境應用在域名上是需要直接或間接的從 CA 申請證書，來取得瀏覽器的信任的。我們先在本地模擬測試一下這個過程，自己生成證書，后面介紹域名啟用 HTTPS。

① keytool工具生成證書

打開 JDK 自帶的 keytool 目錄。

按住 Shift 鍵，同時右鍵點擊空白處。

此時，進入cmd窗口。輸入下面命令。

keytool?-genkeypair?-alias?"tomcat"?-keyalg?"RSA"?-keystore?"D:\tomcat.keystore"

接著會讓你填寫一些基本信息。

下面簡要介紹一下。

密鑰庫口令:123456（這個密碼非常重要）

名字與姓氏:192.168.0.110（以后訪問的域名或IP地址，非常重要，證書和域名或IP綁定）

組織單位名稱:anything（隨便填）

組織名稱:anything（隨便填）

城市:anything（隨便填）

省市自治區:anything（隨便填）

國家地區代碼:anything（隨便填）

② 應用證書到Tomcat

打開 Tomcat 配置文件?conf\server.xml。

取消注釋，并添加兩個屬性?keystoreFile，keystorePass。

maxThreads="150" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" keystoreFile="E:/tomcat.keystore" keystorePass="123456" />

其中，keystoreFile是上一步生成的證書文件地址，keystorePass是上一步的密鑰庫口令。

③ 測試HTTPS

測試鏈接類似于這種 https://192.168.0.110:8443/your_project_name。

觀察Tomcat輸出日志會發現異常。

嚴重: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"]

java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL with APR

at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:484)

at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:566)

at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:417)

at org.apache.catalina.connector.Connector.initInternal(Connector.java:956)

at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)

at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)

解決方法是注釋conf\server.xml文件中下面一行。

重啟Tomcat ，這時可以看到瀏覽器已經可以打開 HTTPS 鏈接了。

真實域名開啟過程

使用自己生成的證書會遇到幾個問題。

一、瀏覽器會對 HTTPS 使用危險標識。

我們開啟 HTTPS 本意是為了更安全，增加用戶信心。但是瀏覽器使用危險標識會適得其反，嚇跑用戶。

二、瀏覽器默認不會加載非HTTPS域名下的javascript

我了個擦，這和早年的禁用javascript差不多了。已經影響網頁的正常運行了。

三、移動設備顯示頁面空白

手機瀏覽器打開頁面，也會像桌面瀏覽器一樣彈出是否加載不受信任的頁面，在微信中打開則會一片空白。

以上種種，導致自己生成的證書無法在生產環境使用。

解決以上問題，需要購買CA的證書。不過我在阿里云上看到有免費的證書申請。https://www.aliyun.com/product/cas

① 申請證書

購買過程就不詳細說了。照著阿里云的提示一步一步做就好了。

證書生成后，會得到PFX類型的證書。

② Tomcat 配置PFX證書

打開 Tomcat 配置文件?conf\server.xml。

取消注釋，并添加三個屬性?keystoreFile，keystoreType，keystorePass。

maxThreads="150" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" keystoreFile="/你的磁盤目錄/訂單號.pfx"

keystoreType="PKCS12"

keystorePass="訂單號" />

其中，keystoreFile是PFX證書文件地址，keystorePass是阿里云的訂單號，keystoreType直接寫PKCS12 。

③ 測試真實域名

重新啟動Tomcat，訪問你自己的域名，則可以正常使用了。瀏覽器會有綠色的域名標識，移動設備也正常了。至于http域名下的javascript，還是需要更換為https才能正常加載。

對于要不要使用 https，需要根據實際情況具體考慮，https會比http慢一些，但是會更安全。

參考文獻

http://lixor.iteye.com/blog/1532655

---------------------

來源：CSDN

原文：https://blog.csdn.net/gane_cheng/article/details/53001846

TCP/IP https Tomcat

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。