tomcat配置SSL加密网站_tomcat中ciphers参数安全级别较高的加密套件

2401_86968712

于 2024-09-08 19:47:59 发布

阅读量903

点赞数 30

文章标签： tomcat ssl firefox

本文链接：https://blog.csdn.net/2401_86968712/article/details/142031821

版权

[root@clienttomcat]#vim conf/server.xml

指定密钥文件路径，指定密钥文件密码
在这里插入图片描述
12重启服务

[root@clienttomcat]# /usr/local/tomcat/bin/shutdown.sh
[root@clienttomcat]# /usr/local/tomcat/bin/startup.sh

13访问测试，指定加密端口
在这里插入图片描述

tomcat只需要做一次加密，那其他的网站全都被加密

扩展

Tomcat上安装SSL证书

本文介绍如何将下载的SSL证书安装到Tomcat服务器上。安装好证书后，您的Web服务器将能支持SSL通信，从而保证您Web服务器的通信安全。

1、申请证书时，“证书请求文件”选择“系统生成CSR”，可直接在已下载的证书文件中获取对应服务器的文件。
解压证书文件压缩吧，从文件夹内获得证书文件“server.jks”和密码文件“keystorePass.txt”。
在这里插入图片描述
2、解开注释tomcat下server.xml

   <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />

注释：8443端口可以另改

 <Connector port="8888" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"  keystoreType="PKCS12"  keystoreFile="/home/xxxuser/soft/cert/cretTomcat/4891476\_www.domain.com.pfx" keystorePass="V46QVfF4" />

3、在“server.xml”文件中找到如下参数：

<Host name="localhost"  appBase="webapps"      unpackWARs="true" autoDeploy="true">

将“Host name”改为证书绑定的域名。

完整配置如下（以“www.domain.com”为例）：

<Host name="www.domain.com"  appBase="webapps"      unpackWARs="true" autoDeploy="true">

为tomcat配置免费ssl证书

最近公司要做微信小程序项目，而小程序的请求域名需要加密才可以通过，现记录下整个配置流程，以便日后复用或他人借鉴。

1.什么是ssl证书
简而言之，ssl证书就是一种数据加密的方式，多用于在线支付类网站。

2.如何申请免费ssl证书
腾讯云、阿里云都提供免费ssl证书的申请通道，一般有效期为1年，过期后可再次申请，传送门：https://cloud.tencent.com/product/ssl
在这里插入图片描述
点击立即购买选择免费的ssl证书，需要注意的是，无论是阿里还是腾讯，申请到的ssl证书都是单域名加密的证书，就算为顶级域名申请证书，也不会作用于二级域名。关于域名的问题请自行百度。

私钥密码如不设置，下载证书时会额外提供一个.txt文件，里面记录的就是与ssl证书对应的密钥。如设置密码，请务必确认后再提交表单，密码无法找回，请谨慎操作。
在这里插入图片描述
通过解析指定的 DNS 记录验证您的域名所有权，指定如主机记录 –> TXT记录类型 –> 记录值的解析格式。例如为申请证书的域名 www.domain.com 添加一条记录类型为TXT的DNS记录，www.domain.com –> TXT –> 201704262209564gw0hj37i4xai8m7uii2a23l
在这里插入图片描述
域名验证页面

等待工作人员验证我们申请的域名。
在这里插入图片描述
验证成功后即可下载证书，状态也变为已颁发的状态

3.为tomcat配置ssl证书
配置SSL连接器，将www.domain.com.jks文件存放到conf目录下，然后配置同目录下的server.xml文件：

到conf目录下的web.xml。在后面，也就是倒数第二段里，加上这样一段
在这里插入图片描述
这步目的是让非ssl的connector跳转到ssl的connector去。所以还需要前往server.xml进行配置：

redirectPort改成ssl的connector的端口443，重启后便会生效。

友情提示

服务器一定要把443端口打开！

Tomcat下的SSL证书安装方法

一、证书导入

导入中级证书： keytool -import -alias intermediate -keystore c:\server.jks -chinasslcrt –file c:\intermediate.crt 提示“认证已添加至keystore中”则导入成功。

导入交叉证书： keytool -import -alias cross -keystore c:\server.jks -chinasslcrt -file c:\chain.crt 提示“认证已添加至keystore中” 则导入成功。

导入服务器SSL证书： keytool -import -alias mykey -keystore c:\server.jks -chinasslcrt -file c:\server.crt 输入密码后提示：“认证回复已安装在 keystore中”说明导入成功。

二、修改配置文件server.xml 将已正确导入认证回复的server.jks文件复制到tomcat安装目录下的conf目用文本编辑器打开Server.xml并更新以下内容

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" keystoreFile="D:/jcy/Tomcat7/conf/server.jks"?keystorePass="123456" />

下面为配置文件参数说明： port=”443″?SSL访问端口号为443 keystoreFile 私钥库文件 server.jks keystorePass私钥库密码 123456

对于Tomcat服务器，如果需要支持使用https访问，可以将服务器证书生成以后，配置server.xml文件，开放https访问方式。但有些时候，可能我们需要将整站或者一些特定的URL限制为只能使用https方式进行访问，那么需要在WEB应用的web.xml文件中进行进一步的配置。在 tomcat /conf/web.xml 中的后面加上下面代码：

需要重新启动tomcat，命令如下：

service tomcat stop

service tomcat start

备注：

一：Tomcat 默认http端口是8080，https一般默认443端口。修改默认网站端口方法，编辑server.xml修改下面代码：

connectionTimeout="20000"??URIEncoding="UTF-8"

redirectPort="443" />

二：“F5负载均衡产品设备的面板中健康检测还是应该是8080 而不是 443 否则认为不对，导致不能外网访问“，??.jks文件安装所以不需要加keystoreType=”PKCS12″这个代码。

server.xml配置文件参考模板：

type="org.apache.catalina.UserDatabase"

description="User database that can be updated and saved"

factory="org.apache.catalina.users.MemoryUserDatabaseFactory"

pathname="conf/tomcat-users.xml" />

connectionTimeout="20000"??URIEncoding="UTF-8"

redirectPort="443" />

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" keystoreFile="D:/jcy/Tomcat7/conf/server.jks" keystoreType="PKCS12" keystorePass="123456" />

resourceName="UserDatabase"/>

unpackWARs="true" >

prefix="localhost\_access\_log." suffix=".txt"

pattern="%h %l %u %t "%r" %s %b" />

以上由安信SSL证书整理发出，欢迎大家实践测试！

原文出处：zhihu -> https://zhuanlan.zhihu.com/p/54248987





![img](https://img-blog.csdnimg.cn/img_convert/6cdb071911242a78cc16cf9e361f5991.png)
![img](https://img-blog.csdnimg.cn/img_convert/010bfc4dae800b11881f12b1ae846825.png)
![img](https://img-blog.csdnimg.cn/img_convert/013157ab9db5dcd2c7925c81e6622f97.png)

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上软件测试知识点，真正体系化！**


https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0





[外链图片转存中...(img-KC7IZx4p-1725796069843)]
[外链图片转存中...(img-kRiAQihm-1725796069844)]
[外链图片转存中...(img-iB1dkMTC-1725796069844)]

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上软件测试知识点，真正体系化！**


https://bbs.csdn.net/forums/4304bb5a486d4c3ab8389e65ecb71ac0