Tomcat在服务器上配置HTTPS协议访问

RT,修改tomcat访问时http协议为https

      怎么下载tomcat和证书的申请我就不多阐述了,网上一搜也比较多的方法,就去阿里云申请一个免费的证书就可以了,记得下载证书的时候要下载对应tomcat 的证书哟。

      我在网上也搜索了很多方法,很多不是很清楚,有的说要把下载的证书用jdk转一下格式,转格式的这个方法应该是对应tomcat7之前版本的方法,我查资料有显示说tomcat7以及以上的版本不用把证书的PFX格式转换就可以直接使用。

(PS:如果觉得我写的太多的,可以查看https://www.cnblogs.com/GoslingWu/p/13690481.html,这个比较简单易懂)

ssl证书上传到 服务器。

在服务器上的应用服务器( tomcat8 )中, 创建一个 cert 文件夹,并进将 证书上传到 cert 目录

 

3、配置应用服务器(tomcat):修改 server.xml文件开启 https 并添加相关内容。

说明:修改前先备份 server.xml ( D:\server\apache-tomcat-8.0.53\conf\server.xml ),

找到 server.xml ,打开并找到 https 配置相关部分。( 文件中第 77 行开始注释部分,默认https配置是被关闭的 ,升级https需要开启)

这里我们拷贝相关的内容,把证书信息也配置上去。截图如下:

重要说明
1、keystoreFile 为ssl证书( pfx 格式)文件路径
2、keystorePass 为证书密钥,在pfx-password.txt 文件中可以找到。
3、port 为 https 访问端口。即使用 https 访问方网站时,后面跟上的端口号是 8443 .

配置代码( tomcat 8 与 8.5 适用):

 
  1. <!-- http ~ https acces HTTP/1.1 org.apache.coyote.http11.Http11NioProtocol -->

  2. <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

  3. maxThreads="1000" acceptCount="1000" SSLEnabled="true" scheme="https" secure="true"

  4. clientAuth="false" sslProtocol="TLS"

  5. keystoreFile="D:\server\apache-tomcat-8.0.53\conf\cert\3317168_java.cn.pfx"

  6. keystoreType="PKCS12"

  7. keystorePass="123456"

  8. ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256" />

好了,到此已经网站已经升级了 https 访问。

现在可以使用 https 访问网站(必须加上https端口才能访问):

https://www.java.cn:8443/Web

原来的访问方式(http两种方式访问,公网ip 或 域名),假设外网端口为 8080:

http://120.0.0.1:8080/Web

http://www.java.cn:8080/Web

 

4、配置应用服务器(tomcat):使用默认端口80、443访问应用系统

大家都知道,一般我们输入一个网址,就能打开一个网站并不需要输入端口号就可以正常访问,那是因为使用了默认端口配置。

一般的,http 访问默认端口(即不输入端口号)是 80 , https 默认端口 是 443 .

例如:输入 www.baidu.com ,就能访问到百度搜索的主页,看看浏览器和服务器都做了啥。

第一步:在浏览器中输入 www.baidu.com , 打开浏览器控制台(这里使用的是 google chrome浏览器)

发现浏览器第一次方式使用 http (80端口)访问,然后请求被转发到 https 访问地址上

因为服务器做了转发,自然而是 使用 https ( 443 ) 端口访问并返回到主页:

总结:显然 http 和 https 访问都是使用默认端口访问网站的,因为我们没有在任何地方输入端口访问。


一般项目升级基本都会要求使用 https 及默认端口访问网站(即像刚刚输入百度域名那样,就可以直接访问百度搜索主页):为了达到同样的目录,现在我们也修改相关配置文件

找到 tomcat 服务器的server.xml ( D:\server\apache-tomcat-8.0.53\conf\server.xml ):

修改 http 访问端口为默认端口: 80 ;redirectPort 为 443 .

修改后:

修改 https 访问端口为默认端口: 443

修改后:

注意改了 任意一处 redirectPort (https端口),其他地方也要改,端口保持一致。

好了,到此已经网站已经升级了 http及https 默认端口访问系统。

现在可以使用 https 访问网站(默认端口):

https://www.java.cn/Web

原来的访问方式(默认端口,http两种方式访问,公网ip 或 域名):

http://120.0.0.1/Web

http://www.java.cn/Web

 

注意,配置到这个时候,使用http + 域名访问,不会跳转到 https访问。请看第 5 步:

 

5、配置应用服务器:http 自动转为 https 访问配置

此操作步骤之前,网站虽然配置了https , 并可以访问。但是还是可以使用 http 直接访问的,如果原来的http也能访问(保留),就不需要此步骤了。原来的访问方式(http两种方式访问,公网ip 或 域名)。

如果网站为了安全,需要强制将 http 转为 https , 则需要做如下配置:

找到 tomcat 配置文件 web.xml ( ‪D:\server\apache-tomcat-8.0.53\conf\web.xml )

打开文件到底部,在  </webcome-file-list> 结束标签后面,加入如下代码:

 
  1. <!-- http redirectTo https : Authorization setting for SSL -->

  2. <login-config>

  3. <auth-method>CLIENT-CERT</auth-method>

  4. <realm-name>Client Cert Users-only Area</realm-name>

  5. </login-config>

  6. <security-constraint>

  7. <web-resource-collection >

  8. <web-resource-name >SSL</web-resource-name>

  9. <url-pattern>/*</url-pattern>

  10. </web-resource-collection>

  11. <user-data-constraint>

  12. <transport-guarantee>CONFIDENTIAL</transport-guarantee>

  13. </user-data-constraint>

  14. </security-constraint>

到此,在浏览器中输入http访问系统,将强制跳转到 https 进行访问。

 

现在可以使用 https 访问网站(默认端口):

https://www.java.cn/Web

原来的访问方式(默认端口,http两种方式访问,公网ip 或 域名):

http://120.0.0.1/Web    将跳转到   https://120.0.0.1/Web

http://www.java.cn/Web  将跳转到  https://www.java.cn/Web

效果图(仅供参考):

 

6、网站升级https中常见的问题

温馨提示:本文章只 针对 Tomcat 8 进行配置。

 

1)应用服务器配置好 https 端口及证书后,浏览器访问不了(不管是默认端口访问,还是其他端口)

一般情况下,主要原因是 windows 防火墙需要开启端口(内网端口),此外可能还需要做端口映射管理(外网与内网端口配置,如不清楚则要找网络管理员)

windows防火墙配置可访问端口:

请依次打开:控制面板   >  系统和安全 > Windows 防火墙

点击 window 防火墙,点击左侧菜单: 高级设置

在左侧:入站规则中,可以看到系统已经防火墙已经添加的端口及程序,

这里我们 添加 8443 端口为例:

单击右边新建规则,选择 端口 并下一步,输入端口并下一步

到此,windows防火墙配置完毕。

2)如果第一步仔细检查后没有问题,浏览器访问不了(不管是默认端口访问,还是其他端口)

此时很有可能是 应用服务器 ( tomcat ) 配置出现问题,需要打开应用服务器 的 logs 目录,查看日志检查问题。本人出现过配置https后访问不了的问题,由于网上的资料参差不齐或不完整导致配置错误。PS : tomcat 不同的版本,配置文件中的属性名或属性值都可能不太一样(这是问题的关键)。

 

  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值