HTTPS協議在Tomcat中啟用是如何配置的
版權聲明:本文為博主阿甘(Gane_Cheng)原創文章,歡迎轉載,傳播知識,請留言告知並註明出處,方便文章有誤改正之後能找到原文。個人之言,請抱著懷疑的態度參考!
目錄(?)[+]
轉載請註明出處:
http://blog.csdn.net/gane_cheng/article/details/53001846
http://www.ganecheng.tech/blog/53001846.html (瀏覽效果更好)
本文將講解HTTPS協議在Tomcat中啟用是如何配置的。
概念簡介
Tomcat 服務器是一個免費的開放源代碼的Web 應用服務器,屬於輕量級應用服務器,在中小型系統和並發訪問用戶不是很多的場合下被普遍使用,是開發和調試 JSP 程序的首選。
HTTP 超文本傳輸協議(HTTP,HyperText Transfer Protocol)是互聯網上應用最為廣泛的一種網絡協議。所有的WWW文件都必須遵守這個標準。
HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。
HTTPS和HTTP的區別
一、HTTP 是超文本傳輸協議,信息是明文傳輸,HTTPS 則是具有安全性的 SSL 加密傳輸協議。
二、HTTPS 協議需要到 CA 申請證書,一般免費證書很少,需要交費。
三、HTTP 和 HTTPS 使用的是完全不同的連接方式,用的端口也不一樣,前者是 80
四、HTTP 的連接很簡單,是無狀態的;HTTPS 協議是由 SSL+HTTP 協議構建的可進行加密傳輸、身份認證的網絡協議,比 HTTP 協議安全。
本地模擬測試開啟過程
HTTPS 如果生產環境應用在域名上是需要直接或間接的從 CA 申請證書,來取得瀏覽器的信任的。我們先在本地模擬測試一下這個過程,自己生成證書,後面介紹域名啟用 HTTPS。
① keytool工具生成證書
打開 JDK 自帶的 keytool 目錄。
按住 Shift 鍵,同時右鍵點擊空白處。
此時,進入cmd窗口。輸入下面命令。
keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\tomcat.keystore"
接著會讓你填寫一些基本信息。
下面簡要介紹一下。
密鑰庫口令:123456(這個密碼非常重要)
名字與姓氏:192.168.0.110(以後訪問的域名或IP地址,非常重要,證書和域名或IP綁定)
組織單位名稱:anything(隨便填)
組織名稱:anything(隨便填)
城市:anything(隨便填)
省市自治區:anything(隨便填)
國家地區代碼:anything(隨便填)
② 應用證書到Tomcat
打開 Tomcat 配置文件 conf\server.xml。
取消註釋,並添加兩個屬性 keystoreFile,keystorePass。
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="E:/tomcat.keystore" keystorePass="123456" />
其中,keystoreFile是上一步生成的證書文件地址,keystorePass是上一步的密鑰庫口令。
③ 測試HTTPS
測試鏈接類似於這種 https://192.168.0.110:8443/your_project_name。
觀察Tomcat輸出日誌會發現異常。
嚴重: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"]
java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL with APR
at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:484)
at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:566)
at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:417)
at org.apache.catalina.connector.Connector.initInternal(Connector.java:956)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
解決方法是註釋conf\server.xml文件中下面一行。
<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->
- 1
- 1
重啟Tomcat ,這時可以看到瀏覽器已經可以打開 HTTPS 鏈接了。
真實域名開啟過程
使用自己生成的證書會遇到幾個問題。
一、瀏覽器會對 HTTPS 使用危險標識。
我們開啟 HTTPS 本意是為了更安全,增加用戶信心。但是瀏覽器使用危險標識會適得其反,嚇跑用戶。
二、瀏覽器默認不會加載非HTTPS域名下的JavaScript
我了個擦,這和早年的禁用javascript差不多了。已經影響網頁的正常運行了。
三、移動設備顯示頁面空白
手機瀏覽器打開頁面,也會像桌面瀏覽器一樣彈出是否加載不受信任的頁面,在微信中打開則會一片空白。
以上種種,導致自己生成的證書無法在生產環境使用。
解決以上問題,需要購買CA的證書。不過我在阿裏雲上看到有免費的證書申請。https://www.aliyun.com/product/cas
① 申請證書
購買過程就不詳細說了。照著阿裏雲的提示一步一步做就好了。
證書生成後,會得到PFX類型的證書。
② Tomcat 配置PFX證書
打開 Tomcat 配置文件 conf\server.xml。
取消註釋,並添加三個屬性 keystoreFile,keystoreType,keystorePass。
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="/你的磁盤目錄/訂單號.pfx"
keystoreType="PKCS12"
keystorePass="訂單號" />
- 1
- 2
- 3
- 4
- 5
- 1
- 2
- 3
- 4
- 5
其中,keystoreFile是PFX證書文件地址,keystorePass是阿裏雲的訂單號,keystoreType直接寫PKCS12 。
③ 測試真實域名
重新啟動Tomcat,訪問你自己的域名,則可以正常使用了。瀏覽器會有綠色的域名標識,移動設備也正常了。至於http域名下的javascript,還是需要更換為https才能正常加載。
對於要不要使用 https,需要根據實際情況具體考慮,https會比http慢一些,但是會更安全。
參考文獻
http://lixor.iteye.com/blog/1532655
HTTPS協議在Tomcat中啟用是如何配置的