全面讲解Tomcat下SSL证书的配置(五)

最新推荐文章于 2024-05-27 14:55:37 发布
最新推荐文章于 2024-05-27 14:55:37 发布
阅读量1w 收藏 8
点赞数 1
分类专栏: tomcat 文章标签: tomcat ssl openssl APR
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JohnLongYuan/article/details/48689775
版权

Tomcat下具体的配置

Tomcat下关于使用SSL证书的配置可以分为三部分
1.启用SSL,使用Tomcat Java平台自身的SSL功能;
2.启用SSL,通过apr协议调用openssl的SSL功能;
3.启用SSL之后的安全配置。
Tomcat本身体型不大,它主要的底层工作都是由Java平台的虚拟机来完成的,比如说内存的调度使用、SSL的通信等。它作为常用的中间件容器具有较好的扩展性,允许用户使用Java平台本身的SSL通信功能(默认),同时又向用户提供了一种使用专业纵深性较好的openssl的SSL功能。
由于Java平台本身在逐渐淘汰安全系数低的SSL2.0、SSL3.0协议,默认客户端必须使用TLS1.0及以上的协议与之通信,这对很多客户端还停留在xp系统IE6浏览器的环境的项目来说,增加了不少的推广阻力和维护工作量。对于上述情况,openssl可以很好的解决这个问题,它仍支持使用SSL2.0及以上通信的客户端进行访问。并且使用openssl可以为SSL配置指定 证书、私钥、证书链,分而治之可以很好的处理当证书链发生变化时引起的证书整体更换。也为向笔者之前那样,因为不熟悉keytool、openssl工具的使用,导致的证书链问题的技术人员提供了解决方法。总之,使用扩展调用openssl将会给用户更多的选择。
当Tomcat启用了SSL功能之后,为了更好地保证该功能的使用,需要对它做一些安全性配置,以保证用户的访问都是通过https的,在用户试图通过http进行访问时,tomcat应可以直接跳转至https协议通信。

下面将讲述具体的配置步骤

1.启用SSL,使用Tomcat Java平台自身的SSL功能;

Java平台使用SSL支持两种协议
在tomcat/confg/server.xml对应的connector中配置其中之一即可
这是Tomcat官方文档中给的示例:

<!-- Define a HTTP/1.1 Connector on port 8443, JSSE NIO implementation -->
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
           port="8443" .../>

<!-- Define a HTTP/1.1 Connector on port 8443, JSSE BIO implementation -->
<Connector protocol="org.apache.coyote.http11.Http11Protocol"
           port="8443" .../>
 <!-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
<Connector
           protocol="org.apache.coyote.http11.Http11NioProtocol"
           port="8443" maxThreads="200"
           scheme="https" secure="true" SSLEnabled="true"
           keystoreFile="${user.home}/.keystore" keystorePass="changeit"
           clientAuth="false" sslProtocol="TLS"/>

Tomcat默认的http对应端口为8080,https对应端口为8443,实际上并不方便用户直接访问,这里我们可以改为80和443
下面是本实验环境中的配置:

<Connector port="80" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="443" />
 <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false"
               sslEnabledProtocols="SSLv2,SSLv3,TLSv1,TLSv1.1,TLSv1.2,SSLv2Hello"
               keystoreFile="/home/oa/tomcat7/conf/www.yuanlangchao.jks"  keystorePass="yuanlangchao" />

我们此处使用sslEnabledProtocols增强型的ssl协议主要是为了使用SSLv2Hello,相对于 sslProtocols=”SSL+SSLv2+SSLv3+TLS+TLSv1+TLSv1.1+TLSv1.2” ,前者会让客户端有更多选择;只要客户端勾了TLS版本中的任意一个即可以与服务器建立通信,而后者做不到。就是说使用sslEnabledProtocols会有更好地兼容性。
很多情况下从安全性的脚本我们可能会指定 具体的协议算法规则如ciphers=”TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA”

最终效果如下图

这里写图片描述

2.启用SSL,通过apr协议调用openssl的SSL功能;

通过apr调用openssl在tomcat/conf/server.xml中的配置
官方文档的说明:

<!-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
<Connector
           protocol="org.apache.coyote.http11.Http11AprProtocol"
           port="8443" maxThreads="200"
           scheme="https" secure="true" SSLEnabled="true"
           SSLCertificateFile="/usr/local/ssl/server.crt"
           SSLCertificateKeyFile="/usr/local/ssl/server.pem"
           SSLVerifyClient="optional" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"/>
这里写代码片

APR是Apache的另一个项目,需要下载安装;apr通过openssl来进行传输,需要保证服务器上已安装了最新的openssl版本,尤其是注意使用应对openssl心脏出血漏洞修复之后的版本。此外还需要Tomcat的扩展包Tomcat native与APR、Openssl配合使用。请按照下面的先后顺序安装配置:
APR与OPENSSL的安装如果系统yum为最新可以直接使用命令

yum install apr-devel openssl-devel

APR的下载安装

//解压配置编译安装
[root@oracle apr-1.5.2]# tar -vxf apr-1.5.2.tar.gz 
[root@oracle apr-1.5.2]# cd apr-1.5.2
[root@oracle apr-1.5.2]# ./configure
[root@oracle apr-1.5.2]# make
[root@oracle apr-1.5.2]# make install

openssl版本下载安装

[root@oracle ~]# tar -vxf openssl-1.0.2d.tar.gz
[root@oracle ~]# cd openssl-1.0.2d
[root@oracle ~]# ./config
[root@oracle ~]# make
[root@oracle ~]# make test
[root@oracle ~]# make install
[root@oracle ~]# /usr/local/ssl/bin/openssl  version
OpenSSL 1.0.2d 9 Jul 2015

Tomcat native下载安装

[root@oracle ~]# tar -vxf tomcat-native-1.1.33-src.tar.gz

[root@oracle ~]# cd tomcat-native-1.1.33-src/jni/native/

[root@oracle native]# ls
build      build.conf  build-outputs.mk  configure     include          libtcnative.dsw  NMAKEmakefile      os   srclib        tcnative.pc.in
buildconf  BUILDING    config.layout     configure.in  libtcnative.dsp  Makefile.in      NMAKEmakefile.inc  src  tcnative.dsp  tcnative.spec

[root@oracle native]# ./configure --with-apr=/usr/local/apr/bin/apr-1-config \ 
>--with-java-home=/usr/java/jdk8/ 
> --with-ssl=yes \
> -prefix=/home/oa/tomcat7/

[root@oracle native]# make && make install

[root@oracle native]# cd /home/oa/tomcat7/lib/

[root@oracle lib]# ls
annotations-api.jar  catalina-tribes.jar  jasper.jar        libtcnative-1.so         servlet-api.jar        tomcat-dbcp.jar     tomcat-jdbc.jar
catalina-ant.jar     ecj-4.4.2.jar        jsp-api.jar       libtcnative-1.so.0       tomcat7-websocket.jar  tomcat-i18n-es.jar  tomcat-util.jar
catalina-ha.jar      el-api.jar           libtcnative-1.a   libtcnative-1.so.0.1.33  tomcat-api.jar         tomcat-i18n-fr.jar  websocket-api.jar
catalina.jar         jasper-el.jar        libtcnative-1.la  pkgconfig                tomcat-coyote.jar      tomcat-i18n-ja.jar
//已经包含了native相关的包,表明安装成功,需要将它配置到名为
LD_LIBRARY_PATH的环境变量
LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/home/oa/tomcat7/lib
export LD_LIBRARY_PATH

[root@oracle ~]# cat .bash_profile 
# .bash_profile

# Get the aliases and functions
if [ -f ~/.bashrc ]; then
    . ~/.bashrc
fi

# User specific environment and startup programs

PATH=$PATH:$HOME/bin
JAVA_HOME=/usr/java/jdk8
JRE_HOME=/usr/java/jdk8/jre/
CATALINA_HOME=/home/oa/tomcat7/
export JAVA_HOME
export CATALINA_HOME
PATH=$JAVA_HOME/bin:$PATH:/usr/local/ssl/bin/
export JRE_HOME
export PATH
LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/home/oa/tomcat7/lib
export LD_LIBRARY_PAT

上面三步完成后:
需要检查server.xml中的AprLifecycleListener,默认是开启的

<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />

本演示环境的配置:

 <Connector port="443" protocol="org.apache.coyote.http11.Http11AprProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false"
               SSLProtocol="SSLv2+SSLv3+TLSv1+TLSv1.1+TLSv1.2"
               SSLCertificateFile="/home/oa/tomcat7/conf/www.yuanlangchao.com.pem_nochain.crt"
               SSLCertificateKeyFile="/home/oa/tomcat7/conf/www.yuanlangchao.com.private.key"
               SSLCertificateChainFile="/home/oa/tomcat7/conf/yuan_bundle.crt" />

启动tomcat看日志中下面状态表示apr启动成功

Sep 23, 2015 6:52:16 AM org.apache.catalina.core.AprLifecycleListener lifecycleEvent
INFO: Loaded APR based Apache Tomcat Native library 1.1.33 using APR version 1.5.2.
Sep 23, 2015 6:52:16 AM org.apache.catalina.core.AprLifecycleListener lifecycleEvent
INFO: APR capabilities: IPv6 [true], sendfile [true], accept filters [false], random [true].
Sep 23, 2015 6:52:16 AM org.apache.catalina.core.AprLifecycleListener initializeSSL

此时客户端通过单独通过SSL2.0、SSL3.0都可以访问站点,当然这是不安全的也是Java平台将其淘汰的原因,但它可以很好得处理客户端兼容性,尤其是低版本的浏览器:
这里写图片描述

3.启用SSL之后的安全配置。

tomcat启用SSL之后,一般是需要做到基于安全考虑的强制跳转,就是说用不知道这是个安全站点使用http进行访问时,系统强制跳转到安全的https端口进行访问。Tomcat通过对页面权限的访问来做到:
需要在/conf/web.xml最后添加如下配置


    <welcome-file-list>
        <welcome-file>index.html</welcome-file>
        <welcome-file>index.htm</welcome-file>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>

<!--下面是添加的-->
<security-constraint>
    <web-resource-collection >
        <web-resource-name >SSL</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
<!--上面是添加的-->

</web-app>

配置完成后重启即可生效。

参考文档
http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html#Edit_the_Tomcat_Configuration_File
http://tomcat.apache.org/tomcat-7.0-doc/config/http.html#NIO_specific_configuration
http://docs.oracle.com/javase/7/docs/technotes/guides/security/StandardNames.html#jssenames

朗超
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
http、https、ftp、TCP、IP 分别表示什么协议?
04-19 5132
http Hypertext Transfer Protocol,   WWW服务程序所用的协议.HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 ftpFile Transfer Protocol , 文件传送[输]协议TCPTransfer Control Protocol, 传输控制协议IPInterne
Tomcat ssl报错Connector attribute SSLCertificateFile must be defined when using SSL with APR解决方法
09-30
主要介绍了Tomcat ssl报错Connector attribute SSLCertificateFile must be defined when using SSL with APR解决方法,需要的朋友可以参考下
tomcat使用现有的crt格式证书配置HTTPS
最新发布
weixin_45816407的博客
05-27 162
如果没有:root.crt 可以不加:certificateChainFile内容。tomcat目录/conf/server.xml。
tomcat ssl报Connector attribute SSLCertificateFile…
weixin_33827590的博客
09-29 155
为什么80%的码农都做不了架构师?>>> ...
TOMCAT配置SSL证书
流浪猫之家
10-29 495
&lt;?xml version='1.0' encoding='utf-8'?&gt; &lt;!--   Licensed to the Apache Software Foundation (ASF) under one or more   contributor license agreements.  See the NOTICE file distributed with   this...
解决tomcat配置ssl报Connector attribute SSLCertificateFile
langqiao123的专栏
01-29 1397
下面我们一起来看看关于解决tomcat配置ssl报Connector attribute SSLCertificateFile must be defined when using SSL with APR错误解决办法,希望此例子对各位同学带来帮助。 今天同事要求帮忙配置tomcat ssl,直接把linux下tomcat配置ssl这篇文章发给他了,没想到他居然说启动tomcat的时候,
tomcat配置报错Connector attribute SSLCertificateFile must be defined when using SSL with APR
cgdogn的博客
11-26 656
Tomcat提供了两个SSL实现,一个是JSSE实现,另一个是APR实现,两种实现的协议不同,一个是HTTP/1.1,一个是 org.apache.coyote.http11.Http11Protocol 导致启动报错。 所以将配置文件的SSL配置协议换成如图所示,再重新启动tomcat ...
Tomcat配置SSL证书的方法
09-30
主要介绍了Tomcat配置SSL证书的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解如何给Tomcat配置Https/ssl证书
09-30
要为Tomcat配置SSL证书,我们需要先创建一个自签名的证书。这可以通过Java自带的keytool工具实现: 1. 打开命令行,输入以下命令来生成一个名为“localhost-rsa.jks”的Keystore文件,其tomcat”是别名,RSA是...
Tomcat配置ssl证书和根目录修改
09-26
有关于Tomcat配置ssl证书TOMCAT的根目录修改。然后可以用https+域名直接访问工程。。。。。。。。。。。。。。。。。。。
腾讯云申请免费ssl证书配置tomcat使http变https
09-30
主要介绍了腾讯云申请免费ssl证书配置tomcat使http变https,详细的介绍了每个步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Apache + Tomcat + SSL 负载均衡及数据加密
博客颜色
11-02 345
Apache + Tomcat + SSL 负载均衡及数据加密   要想同时实现负载均衡及加密,需要对两个文件进行配置,一个是Apache的/conf/httpd.conf文件,还有一个是SSL的/conf.d/ssl.conf文件。   1.配置ssl.conf   &lt;VirtualHost *:443&gt;       SSLEngine on     S...
Tomcat SSL 配置
KEN的专栏
03-31 567
1.      生成 server key :changeit 换成所需的以命令行方式切换到目录%TOMCAT_HOME%,在command命令行输入如下命令(jdk1.4以上带的工具): keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepas
tomcat攻略
专栏
07-23 155
以下是常见的tomcat配置和问题 以下总结来自实践(OS: Ubuntu 10.10 64bit) 目录 Tomcat conf配置 tomcat-users.xml配置 web.xml静态资源编码设置 URI编码设置 APR 配置SSLAPRSSL配置步骤 APR环境的SSL配置(ssl使用apr) gzip压缩 jdbc HttpOn...
Tomcat SSL / TLS (HTTPS) 配置
又言又语
12-28 1520
Tomcat SSL / TLS (HTTPS) 配置
tomcat优化
qinheJ的博客
04-24 293
一个服务的实际并发量收到很多方面因素的影响,大致归类一下如下: 1、数据库,这是web项目最常见的瓶颈,解决方法一般都是通过cache 2、远程接口调用,解决方法是选择高性能的RPC框架,如dubbo+ZK等,使用长连接代替短连接 3、容器,容器本身的并发量是有上限的,所以大型系统都是分布式的 4、业务逻辑,复杂的业务逻辑肯定会花费更多的时间去处理,可以采用异步或多线程的方式解决 5.其他,如J...
Tomcat证书配置ssl,客户端认证,内网证书
IOT之无线网络传输技术
12-03 1716
场景说明:  tomcat 客户端证书认证 + 指定证书用户。 如内网证书验证(某些人员才有权限)   证书生成和双向证书配置这块网上资料很多,也很详细,大家可以 百度一下 1. 证书生成 服务端证书如果公司有购买的可以直接配置(天威诚信的官网有操作说明),如果没有可以自己生成(不过浏览器每次会弹出提示)。 客户端根证书,一般如果是内网根证书为 xxx.cer 文件。 可以直接和服务端
解决报错http11.Http11Protocol-auto-null Protocol handler instantiation failed
qq_42996972的博客
01-13 3108
Centos7启动Tomcat9会报错http11.Http11Protocol-auto-null Protocol handler instantiation failed 13-Jan-2020 23:02:48.010 SEVERE [main] org.apache.catalina.util.LifecycleBase.handleSubClassException Failed t...
配置tomcat支持ssl
mixturer的博客
01-16 9127
windows下: 1.获取证书配置tomcat java-jdk提供一个简单的制作证书的工具,你可以用它来产生一个证书做测试用: 1.先来到你的jdk/bin下 2.执行 keytool -genkey -alias tomcat -keyalg RSA -keystore F:\tomcat.keystore -validity 36500 其F:\tomcat.keystor
tomcat配置ssl证书
08-30
配置TomcatSSL证书,你需要按照以下步骤进行操作: 1. 打开Tomcat安装目录的“server.xml”文件。可以在该文件找到用于配置SSL的Connector参数。 2. 在Connector参数,将端口号修改为443。这是用于HTTPS连接的默认端口号。例如: ``` <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true"> <SSLHostConfig> <Certificate certificateKeystoreFile="cert/server.jks" certificateKeystorePassword="证书密码" type="RSA" /> </SSLHostConfig> </Connector> ```***的值。证书文件应该是一个.keystore或.jks文件,它包含了SSL证书的相关信息。 4. 保存并关闭“server.xml”文件。 5. 重新启动Tomcat服务器。 这样,你就成功配置TomcatSSL证书。当用户通过HTTPS连接访问你的Tomcat服务器时,将会使用配置证书进行加密通信,保证数据的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [tomcat配置ssl证书](https://blog.csdn.net/F_wenwen/article/details/113615076)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Tomcat配置SSL证书的方法](https://download.csdn.net/download/weixin_38677044/12900193)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值