应公司的的推广需求,要求所有的一些广告页面都必须可以被https访问,网上搜了一些方法,发现很多都没有写下什么环境和版本下的配置很多都是转载,现在写下自己的碰到的一些问题和解决方法。
1.环境和配置:
服务器操作系统,Windows Server 2012 R2
JDK版本:jdk1.8_074
tomcat版本:tomcat8.0.39
服务器为国内租用的云服务器
域名为公司正规注册的域名
(本文中蓝色的文字都是根据你实际的情况进行修改不要复制本文当中的)
2.所用的文件与工具:
证书:
test.jks(证书根据自己实际情况来看,文本最终需要的是一个cer文件,和一个key文件)
JDK自带的keytool工具
jks2pfx这个证书转换工具(
jks2pfx这个工具中自带了openssl工具
)
3.关于证书文件,网上有很多自己生成证书的,这里不做介绍,我的证书是在域名购买的网站上直接申请的OV免费证书,关于证书OV级别 EV等,请自己查找,这里也不在叙述,我这里的证书文件为test.jks
4.关于tomcat的工作方式,虽然我不是做运维,但是tomcat确实有三种工作模式,bio,nio,apr,三种工作模式根据网上的资料来说性能的大小依次是bio<nio<apr,而且apr相对于nio性能提升很明显
那怎么判断你的tomcat是以什么方式启动的呢?如下图
这是tomcat启动完成的语句,其中画横线的地方为tomcat中的conf文件夹下 server.xml里面的<Connector>的启动方式,后面是端口号。
如果是配置nio模式 就是如下配置方式
<Connector port="8443" protocol="org.apache.coyote.http11.Http11
Nio
Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
这样配置后,tomcat启动结尾就是 http-nio-你配置的端口号,和ajp-nio-端口号
如果是配置apr模式 就是http-apr-你配置的端口号,和ajp-apr-端口号,和http-apr-443
现在确定的是需要用apr模式来配置SSL证书文件,既然有高效的模式肯定是要用的。
tomcat8自带的就有 apr SSL引擎,网上很多篇文章都是告诉你 注销掉conf\server.xml中的这一行
<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />
但是我发现只要注销掉这一行,无论你怎么配置<Connector>里的 protocol为"org.apache.coyote.http11.Http11
Apr
Protocol",都无法启动apr模式,tomcat自动启动为nio模式,所以很多配置方法都最终配置成了Nio模式。
所以这一行不能注销,我修改了<Connector>的配置如下
<Connector port="443" protocol="org.apache.coyote.http11.Http11
Apr
Protocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"
keystoreFile="
conf\test.jks
"
keystorePass=“
你证书的密码
”
clientAuth="false" sslProtocol="TLS"
/>
启动发现错误,
SSL无法找到SSLCertificateFile
在tomcat刚启动时就报错,然后自动转变为Nio模式,而且一样不能通过https访问你的任何页面。
后来经过一番折腾终于在一个前辈的博客当中找到了线索(在此感谢这位前辈)
http://www.cnblogs.com/zhuawang/p/5125382.html
关键的是这一句,
APR的Tomcat,需要使用server.key和server.cer文件,并按mod_ssl的语法来更新Server.xml文件配置
5.
好,现在就去找到jks中的.key和.cer这两个文件,JDK的安装目录当中的bin目录下可以看到有一个keytool的exe文件,这个文件可以在开始菜单中用cmd进入到你JDK 安装的路径,比如安装在D:\java\jdk1.8.074\bin,先把你的
test.jks
文件放到这个路径下面,那么你就通过cmd进入到这个文件夹下,运行keytool工具(其中下划线为空格)
keytool_-export_-alias_
sksalias_
-keystore_
test.jks_
-storepass_
123456_
-file_
scert
.cer
其中蓝色的部分根据自己的情况来改,第一个-alias是别名的意思,也就是别名是sksalias,第二个蓝色的就是你的jks文件了。 然后就是你的证书密码,最后是给要导出的cer文件取一个名字。这个文件会保存在
D:\java\jdk1.8.074\bin,
也就是和keytool一个文件夹下。
下面获得key文件,需要两步
1)用keytool把test.jsk转换为PKCS12,命令如下(其中下划线为空格)
keytool_-importkeystore_-srckeystore_
test.jks
_\_-destkeystore_
outtest
.p12_-deststoretype_PKCS12
(命令是可以使用的,之间有空格,调一下斜杠的位置,我第一次没成功)
这句是把test.jks 转化成outtest.p12文件
2)再用openssl 将P12文件转成key
openssl_pkcs12_-in_
outtest
.p12_-out_
outfinaltest
.pem_-nodes
6.将cer和key这两个文件放入tomcat的conf的server.xml里如下配置
<Connector port="443"
protocol="org.apache.coyote.http11.Http11AprProtocol"
enableLookups="true"
disableUploadTimeout="true"
acceptCount="100" maxThreads="200"
scheme="https"
secure="true"
SSLEnabled="true"
SSLCertificateFile="
scert
.cer
的绝对路径
"
SSLCertificateKeyFile="
outfinaltest
.key
的绝对路径
"
SSLVerifyClient="none" sslProtocol="TLS"/>
7.重启tomcat,大功告成!