tomcat对https配置
来源:互联网 发布:mp3剪切合并软件 编辑:程序博客网 时间:2024/05/29 07:07
keytool -genkey -v -alias meikey -keyalg RSA -storetype PKCS12 -keystore meikey.p12keytool -export -alias meikey -keystore meikey.p12 -storetype PKCS12 -storepass 123456 -rfc -file meikey.cerkeytool -list -keystore tomcat.keystorekeytool -import -trustcacerts -alias meikey -v -file meikey.cer -keystore tomcat.keystore
利用以上命令生成公私秘钥
最简单的方法,直接用java里的keytool工具生成一个keystore文件,然后直接用这个文件启用https就可以了。
方法如下:
命令行执行%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA
执行过程中会询问你一些信息,比如国家代码,省市等,其中需要填写两个密码,一次在开头,一次在最后,请保持两个密码相同。比如,我将密码都设成s3cret。
如果不同,启动会报错,大概是下面这样的
java.io.IOException: Cannot recover key
执行完成后会生成一个.keystore文件,将它复制到tomcat的bin目录下(并不一定,放哪里都可以)
打开conf目录下的server.xml文件,找到以下这一段
<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
-->
它被注释掉了,将注释去掉,并将这一段改成以下
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="bin/.keystore" keystorePass=" s3cret"
clientAuth="false" sslProtocol="TLS" />
之后启动tomcat就可以了,通过https方式访问8443端口,就能看到效果。如果用http访问之前的端口,那么还是普通的未加密连接。
到这里问题来了,我的目的是启用https,但现在http还能访问,那么就可以绕开https。https也就起不了什么作用了。因此要强制访问https。
打开你的web应用的web.xml文件,在最后加上这样一段
<security-constraint>
<web-resource-collection>
<web-resource-name>Protected Context</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
重启tomcat,现在你放问原来的地址,假设是http://localhost:8080/mywebapp/,可以看到,连接被重定向到了https的连接
https://localhost:8443/mywebapp/。这样,我们的目的达到了。
但似乎还有点小问题,keystorePass="s3cret",这个密码直接被明码方式卸载server.xml里。总觉得有还是有点不爽。
那么还有一种稍微复杂点的方式,我们使用openssl。
首先,需要下载openssl,为了方便,可以下载一个绿色版,http://www.itrus.com.cn/verisignchina/Service/soft/autocsr.rar
加压后除了openssl.exe以外,还有一个bat文件,这个可以帮助我们快速创建证书申请文件。
运行autocsr.bat,按照提示输入信息,之后按任意键确认。你会得到两个文件,一个server.key,这是私钥文件,还有一个名为certreq.csr的证书请求文件。
如果你要向证书颁发机构申请正式的安全证书,那么就把这个certreq.csr文件发给他们就行了。他们会给你发来两个cer文件,一个是服务器证书,一个是根证书
如果你只是要使用https,那么证书自己签署就可以了。
在命令行下进入刚才解压的目录,找到openssl.exe所在的目录,执行以下命令
openssl x509 -req -in certreq.csr -out cert.cer -signkey server.key -days 3650
现在你将得到一个名为cert.cer的证书文件。
修改server.xml将
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="bin/.keystore" keystorePass=" s3cret"
clientAuth="false" sslProtocol="TLS" />
<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
SSLCertificateFile="conf/cert.cer"
SSLCertificateKeyFile="conf/server.key"
sslProtocol="TLS" />
PS.如果真的向证书颁发机构申请到了正式的安全证书,那么配置还有点不同,如下
<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
SSLCertificateFile="conf/server.cer"
SSLCertificateKeyFile="conf/server.key"
SSLCertificateChainFile="conf/intermediate.cer"
sslProtocol="TLS" />
因为证书颁发机构会给两个整数,一个是签署后的服务器证书,还有一个中级CA证书,所以要多一行配置。
阅读全文
0 0
- tomcat对https配置
- tomcat实现https配置
- tomcat配置Https
- tomcat https 配置过程
- tomcat配置https
- Tomcat配置Https (SSL)
- Tomcat下配置HTTPS
- tomcat配置 https
- Tomcat配置Https访问
- Tomcat 配置https
- tomcat https 配置过程
- 给Tomcat配置HTTPS
- Tomcat下配置HTTPS
- cas--tomcat https配置
- Tomcat 配置 https 协议
- Tomcat配置https
- 本地tomcat 配置https
- 配置tomcat https
- centos7.3下二进制安装mysql5.7.19记录
- BZOJ1022: [SHOI2008]小约翰的游戏John
- Python基础小笔记《2017-10-18》
- java面试题-java虚拟机(JVM)
- c++ string和其他类型互转
- tomcat对https配置
- [BZOJ1076]奖励关-状压+期望
- 全面理解Android中的Px,DPI,DIP,Density,Sp等概念
- 行人属性“Person Attribute Recognition with a Jointly-trained Holistic CNN Model”
- hbase集群搭建
- ubuntu16.04(64位)兼容32位程序
- 表
- js 解决 select option 过多 ,筛选过滤功能
- 利用SWIG转换C++接口到Java接口