【转】Tomcat启用HTTPS协议配置过程

转载请注明出处：

http://blog.csdn.net/gane_cheng/article/details/53001846

http://www.ganecheng.tech/blog/53001846.html （浏览效果更好）

本文将讲解HTTPS协议在Tomcat中启用是如何配置的。

1. 概念简介

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试 JSP 程序的首选。

HTTP 超文本传输协议（HTTP，HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。

HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。

HTTPS和HTTP的区别

一、HTTP 是超文本传输协议，信息是明文传输，HTTPS 则是具有安全性的 SSL 加密传输协议。

二、HTTPS 协议需要到 CA 申请证书，一般免费证书很少，需要交费。

三、HTTP 和 HTTPS 使用的是完全不同的连接方式，用的端口也不一样，前者是 80，后者是 443。

四、HTTP 的连接很简单，是无状态的；HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比 HTTP 协议安全。

2. 本地模拟测试开启过程

HTTPS 如果生产环境应用在域名上是需要直接或间接的从 CA 申请证书，来取得浏览器的信任的。我们先在本地模拟测试一下这个过程，自己生成证书，后面介绍域名启用 HTTPS。

2.1. ① keytool工具生成证书

打开 JDK 自带的 keytool 目录。

按住 Shift 键，同时右键点击空白处。

此时，进入cmd窗口。输入下面命令。

keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\tomcat.keystore"

接着会让你填写一些基本信息。

下面简要介绍一下。

密钥库口令:123456（这个密码非常重要）
名字与姓氏:192.168.0.110（以后访问的域名或IP地址，非常重要，证书和域名或IP绑定）
组织单位名称:anything（随便填）
组织名称:anything（随便填）
城市:anything（随便填）
省市自治区:anything（随便填）
国家地区代码:anything（随便填）

2.2. ② 应用证书到Tomcat

打开 Tomcat 配置文件 conf\server.xml。

取消注释，并添加两个属性 keystoreFile，keystorePass。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="E:/tomcat.keystore" keystorePass="123456" />

其中，keystoreFile是上一步生成的证书文件地址，keystorePass是上一步的密钥库口令。

2.3. ③ 测试HTTPS

测试链接类似于这种 https://192.168.0.110:8443/your_project_name。

观察Tomcat输出日志会发现异常。

严重: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"]
java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL with APR
        at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:484)
        at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:566)
        at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:417)
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:956)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)

解决方法是注释conf\server.xml文件中下面一行。

<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->

重启Tomcat ，这时可以看到浏览器已经可以打开 HTTPS 链接了。

3. 真实域名开启过程

使用自己生成的证书会遇到几个问题。

一、浏览器会对 HTTPS 使用危险标识。

我们开启 HTTPS 本意是为了更安全，增加用户信心。但是浏览器使用危险标识会适得其反，吓跑用户。

二、浏览器默认不会加载非HTTPS域名下的javascript

我了个擦，这和早年的禁用javascript差不多了。已经影响网页的正常运行了。

三、移动设备显示页面空白

手机浏览器打开页面，也会像桌面浏览器一样弹出是否加载不受信任的页面，在微信中打开则会一片空白。

以上种种，导致自己生成的证书无法在生产环境使用。

解决以上问题，需要购买CA的证书。不过我在阿里云上看到有免费的证书申请。https://www.aliyun.com/product/cas

3.1. ① 申请证书

购买过程就不详细说了。照着阿里云的提示一步一步做就好了。

证书生成后，会得到PFX类型的证书。

3.2. ② Tomcat 配置PFX证书

打开 Tomcat 配置文件 conf\server.xml。

取消注释，并添加三个属性 keystoreFile，keystoreType，keystorePass。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="/你的磁盘目录/订单号.pfx"
    keystoreType="PKCS12"
    keystorePass="订单号" />

其中，keystoreFile是PFX证书文件地址，keystorePass是阿里云的订单号，keystoreType直接写PKCS12 。

3.3. ③ 测试真实域名

重新启动Tomcat，访问你自己的域名，则可以正常使用了。浏览器会有绿色的域名标识，移动设备也正常了。至于http域名下的javascript，还是需要更换为https才能正常加载。

对于要不要使用 https，需要根据实际情况具体考虑，https会比http慢一些，但是会更安全。

4. 参考文献

http://lixor.iteye.com/blog/1532655

时间： 2024-08-05 07:08:07

【转】Tomcat启用HTTPS协议配置过程的相关文章

Tomcat启用HTTPS协议配置过程

本地模拟测试开启过程 HTTPS 如果生产环境应用在域名上是需要直接或间接的从 CA 申请证书,来取得浏览器的信任的.我们先在本地模拟测试一下这个过程,自己生成证书,后面介绍域名启用 HTTPS. ① keytool工具生成证书打开 JDK 自带的 keytool 目录. 下面简要介绍一下. 密钥库口令:123456(这个密码非常重要) 名字与姓氏:192.168.0.110(以后访问的域名或IP地址,非常重要,证书和域名或IP绑定) 组织单位名称:anything(随便填) 组织名称:any

配置Tomcat使用https协议(配置SSL协议)

内容概览: 如果希望 Tomcat 支持 Https,主要的工作是配置 SSL 协议 1.生成安全证书 2.配置tomcat --------------------------------------------------------------------------------------------------------------------------- 预备知识: sso cas ssl https ca ------------------------------------

Tomcat服务器https协议配置简介

一. 数字签名证书制作 1. 用jdk自带的keytool工具生成证书: 2. 导出证书: 3. 交给CA签名认证: 注意:制作详细步骤示例参见附录. 二.修改server.xml文件修改conf/server.xml,添加以下配置 <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="htt

Tomcat使用Https协议

背景: 在一个项目上线的过程中,采用了阿里云的负载均衡,而不是nginx的负载均衡,所以需要配置tomcat支持https协议 1.生成keystore 1 keytool -genkeypair -alias "tomcat" -keyalg "RSA" -validity 90 -keystore "/root/tomcat.keystore" "/root/tomcat.keystore" 生成的keystore位置和

Tomcat使用Https协议的证书申请说明书

Tomcat使用Https协议的证书申请说明书 https协议是http协议的加密版本,即https=http+ssl. 一.相关概念 SSL证书 SSL证书,就是一种安装在服务器上的数字证书.安装了SSL证书的网站,可以使用HTTPS访问,在用户浏览器和网站服务器之间建立一条“SSL加密通道”,在网上交易.网上支付时,让您的交易信息.身份信息.账号密码等机密信息加密传输,防止信息泄露. 同时,SSL证书是由权威CA机构认证网站身份后才能颁发,在证书中显示网站所属单位或个人的真实信息,并通过绿色

Tomcat 启用 Https

生成 key $JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA # $JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA Enter keystore password: Re-enter new password: What is your first and last name? [Unknown]: YourName What is the name of your

Tomcat服务器配置https协议(Tomcat HTTPS/SSL 配置)

通常商用服务器使用https协议需要申请SSL证书,证书都是收费的,价格有贵的有便宜的.它们的区别是发行证书的机构不同,贵的证书机构更权威,证书被浏览器否决的几率更小. 非商业版本可以通过keytool来生成. 用keytool工具生成证书与配置 1.相关工具说明此处使用1.7.0_79版本,如图所示: 切换到jdk bin目录下面,如图: 证书密钥生成 1.创建证书 keytool -genkey -alias [your_alias_name] -keyalg RSA -keystore

动态路由协议（基于RIP协议配置过程）

常见的动态路由协议可以分为"距离矢量路由协议"和"链路状态路由协议". 其中距离矢量路由协议依据的是从源网络到目标网络所经过的路由器的个数来选择路由,典型的协议是"RIP": 链路状态路由协议会综合考虑从源网络到目标网络的各条路径的情况来选择路由,典型的协议是"OSPF". 本篇文章说下RIP协议,运行该协议的路由器都会向邻居路由器学习他们所观察到的路由信息,然后向外通告自己所观察到的路由信息,因为每个路由器在信息上都依赖于邻

配置Tomcat使用https协议

一. 创建tomcat证书这里使用JDK自带的keytool工具来生成证书 1. 在jdk的安装目录\bin\keytool.exe下打开keytool.exe 2. 在命令行中输入以下命令: keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "f:\tomcat.keystore" 二. 配置tomcat服务器定位到tomcat服务器的安装目录, 找到conf下的ser