Tomcat配置HTTPS的文章到處都有,過程也比較簡單,隨後文中會轉一段過來。

但對於啟用APR情況下報異常“java.lang.Exception: Connector attribute SSLCertificateFile must be defined when  using SSL with APR”的解決方法上處理的都比較偷懶,通常都是把APR註釋掉不啟用APR。

做為一個文藝青年兼軟體開發工程師(偶吐),我有責任深入學習仔細研究完美解決這個問題(偶再吐)。

資料轉載【TOMCAT配置HTTPS】

################################################################

二、建立證書

囉 嗦幾句:證書是單點登入認證系統中很重要的一把鑰匙,客戶端於伺服器的互動安全靠的就是證書;本教程由於是演示所以就自己用JDK自帶的keytool工 具生成證書;如果以後真正在產品環境中使用肯定要去證書提供商去購買,證書認證一般都是由VeriSign認證,中文官方網站:http://www.verisign.com/cn/

用JDK自帶的keytool工具生成證書:

keytool -genkey -alias wsria -keyalg RSA -keystore d:/keys/wsriakey

無圖不給力,有圖有真相:

具體的輸入項圖片中都有說明,有一點我要解釋一下;在輸入完密碼後提示輸入域名是我輸入的是sso.wsria.com,其實這個域名是不存在的,但是我為了演示所以虛擬了這個域名,技巧在於修改

C:\Windows\System32\drivers\etc\hosts

新增內容如下:

127.0.0.1  sso.wsria.com

這樣在訪問sso.wsria.com的時候其實是訪問的127.0.0.1也就是本機

嚴重提醒:提示輸入域名的時候不能輸入IP地址

三、匯出證書

D:\keys>keytool -export -file d:/keys/wsria.crt -alias wsria -keystore d:/keys/wsriakey

特別提示:如果提示:

keytool error: java.io.IOException: Keystore was tampered with, or password was incorrect

那麼請輸入密碼:changeit

來點顏色:

至此匯出證書完成,可以分發給應用的JDK使用了,接下來講解客戶端的JVM怎麼匯入證書。

四、為客戶端的JVM匯入證書

keytool -import -keystore D:\tools\jdk\1.6\jdk1.6.0_20\jre\lib\security\cacerts -file D:/keys/wsria.crt -alias wsria

來點顏色瞧瞧:

特別說明

D:\tools\jdk\1.6\jdk1.6.0_20\jre\lib\security -- 是jre的目錄;密碼還是剛剛輸入的密碼。至此證書的建立、匯出、匯入到客戶端JVM都已完成,下面開始使用證書到Web伺服器中,本教程使用tomcat。

五、應用證書到Web伺服器-Tomcat

說 是應用起始做的事情就是啟用Web伺服器(Tomcat)的SSL,也就是HTTPS加密協議,為什麼加密我就不用囉嗦了吧…… 準備好一個乾淨的tomcat,本教程使用的apache-tomcat-6.0.29 開啟tomcat目錄的conf/server.xml檔案,開啟83和87行的註釋程式碼,並設定keystoreFile、keystorePass修 改結果如下:

1
2
<connector port="8443" protocol="HTTP/1.1" sslenabled="true" maxthreads="150"
scheme="https" secure="true" clientauth="false" sslprotocol="TLS"
keystorefile="D:/keys/wsriakey" keystorepass="wsria.com">
</connector>

引數說明:

  • keystoreFile:在第一步建立的key存放位置
  • keystorePass:建立證書時的密碼

好了,到此Tomcat的SSL啟用完成,現在你可以啟動tomcat試一下了,例如本教程輸入地址:https://sso.wsria.com:8443/ 開啟的是:

好的,那麼我們點選“繼續瀏覽此網站(不推薦)。現在進入Tomcat目錄了吧,如果是那麼你又向成功邁進了一步。

################################################################

來自http://www.kafeitu.me/2010/11/05/sso-cas-full-course.html

文章寫的很好,也很細緻。

嗯。好了,問題來了。

當我啟動Tomcat時發現控制檯報錯如下:

  1. 2012-5-16 13:10:37 org.apache.catalina.core.AprLifecycleListener init
  2. 資訊: Loaded APR based Apache Tomcat Native library 1.1.23.
  3. 2012-5-16 13:10:37 org.apache.catalina.core.AprLifecycleListener init
  4. 資訊: APR capabilities: IPv6 [true], sendfile [true], accept filters [false], random [true].
  5. 2012-5-16 13:10:37 org.apache.coyote.AbstractProtocol init
  6. 資訊: Initializing ProtocolHandler ["http-apr-8080"]
  7. 2012-5-16 13:10:37 org.apache.coyote.AbstractProtocol init
  8. 資訊: Initializing ProtocolHandler ["http-apr-8443"]
  9. 2012-5-16 13:10:37 org.apache.coyote.AbstractProtocol init
  10. 嚴重: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"]
  11. java.lang.Exception: <span style="background-color: #ffff00;">Connector attribute SSLCertificateFile must be defined when using SSL with APR</span>
  12. at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:484)
  13. at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:566)
  14. at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:417)
  15. at org.apache.catalina.connector.Connector.initInternal(Connector.java:956)
  16. at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
  17. at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)

直接Google,很多答案都是不啟用APR,修改conf/server.xml註釋掉下面一段

  1. <!--APR library loader. Documentation at /docs/apr.html -->
  2. <Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />

例如:http://tdp100.iteye.com/code?tag=tomcat+https

但這樣做將失去APR庫的價值,Tomcat效能必然下降(APR庫作用見此處http://wenson.iteye.com/blog/382738

讓我們開啟Tomcat的文件webapps/docs/apr.html,其中講到

      <Connector port="443" maxHttpHeaderSize="8192"

                 maxThreads="150"

                 enableLookups="false" disableUploadTimeout="true"

                 acceptCount="100" scheme="https" secure="true"

                 SSLEnabled="true"

                 SSLCertificateFile="${catalina.base}/conf/localhost.crt"

                 SSLCertificateKeyFile="${catalina.base}/conf/localhost.key" />

SSLCertificateFile屬性好理解,是指證書檔案,就是用keytool匯出的那個。

而SSLCertificateKeyFile應該是指私鑰,這個東西從哪裡來呢,繼續找資料。

在這裡:http://stackoverflow.com/questions/150167/how-do-i-list-export-private-keys-from-a-keystore

關鍵是這一段:

keytool -importkeystore -srckeystore keystore.jks \

    -destkeystore intermediate.p12 -deststoretype PKCS12

Next, use OpenSSL to do the extraction to PEM:

openssl pkcs12 -in intermediate.p12 -out extracted.pem -nodes

先把keystore轉換為pkcs12格式,然後使用openssl工具匯出私鑰即可。

openssl 工具可以從這裡下載:http://gnuwin32.sourceforge.net/packages/openssl.htm

ohYeah! 搞定了。