说明:
tomcat使用https是为了保证隐私数据能够加密传输,不被别人截取破解传输信息。
https认证过程涉及到对称加密与非对称加密,多次握手,相对于http协议是比较费时的。
关于一些详细的背景概念,https认证过程资料:点击这里
以下是配置步骤笔记,都是经过亲手实践的。
步骤:
1、安装JDK
配置JAVA_HOME,或者定位到jdk_path/bin里面。
2、为服务器生成证书
keytool -genkey -keyalg RSA -dname "cn=127.0.0.1,ou=xxx,o=xxx,l=GZ,st=GD,c=CN" -alias server -keypass 123456 -keystore F://key//server.keystore -storepass 123456 -validity 36
注:cn=127.0.0.1配置的是服务器IP
3、生成csr证书请求文件(内网这步可以忽略)
说明:生成csr文件用于提交CA认证生成证书使用。
附:证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。
keytool -certReq -alias server -keystore F://key//server.keystore -file F://key//ca.csr
4、生成cer证书文件
说明:这个ca.cer是为了解决不信任时要导入的
keytool -export -alias server -keystore F://key//server.keystore -file F://key//ca.cer -storepass 123456
5、修改tomcat配置文件server.xml
<Connector SSLEnabled="true" clientAuth="false"
maxThreads="150" port="8443"
protocol="org.apache.coyote.http11.Http11Protocol"
scheme="https" secure="true" sslProtocol="TLS"
keystoreFile="F:/key/server.keystore" keystorePass="123456"/>
6、配置项目哪些web接口使用https协议
修改工程总的web.xml文件,添加下面代码 <!-- 配置SSL -->
<security-constraint>
<web-resource-collection>
<web-resource-name>securedapp</web-resource-name>
<url-pattern>/api/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
7、解决不信任问题
启动tomcat,输入https://127.0.0.1:8443/xxx/api/xxx (不能使用localhost)这时提示框显示:服务器的证书不受信任。在浏览器内显示以下提示:
此服务器无法证明它是127.0.0.1;您计算机的操作系统不信任其安全证书。出现此问题的原因可能是配置有误或您的连接被拦截了。
选择“继续前往(不安全)”,也能访问,但是此时就是以普通的HTTP方式进行信息传输了。
导入第4步生成的ca.cer文件
重启浏览器,重新输入地址,访问成功