Tomcat 配置https协议

临近苹果使用https,尝试了在本地配置https,然后写个文章记录一下怎么配置的.

认识http与https

HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。
HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
HTTPS协议的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。

http与https的区别

  1. https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
  2. http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
  3. http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
  4. http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

配置https

环境

JDK7 Tomcat7 Windows Server2008

工具

java中自带的javatool工具

基本步骤

  1. 先制作一个根证书(用于签发服务证书)
    keytool -genkeypair -alias ROOTCERT -keyalg RSA -keystore d:\rootlib.jks -validity 36500

    命令解释:生成一对RSA非对称密钥和一个自签名证书,以别名ROOTCERT存储在rootlib中,-validity 有效时间 单位 /天。
    注意:enter后,会提示输入密钥库的使用口令,和填写相关OU,CN等信息。如下图:
    命令行图片
    之后会在你的当前工作目录下生成一个rootlib.jks的文件。

  2. 生成一个CSR格式的证书请求文件

    • keytool -genkeypair -alias SERVERCERT -keyalg RSA -keystore d:\serverlib.jks -validity 36500 (跟1步骤一样)。
      注意:此时”您的名字与姓氏是什么” ,需要输入localhost(就是证书请求者的域名)。
    • keytool -certreq -file d:\server.csr -alias SERVERCERT -keystore d:\serverlib.jks -validity 36500

      命令解释:在serverlib文件中从别名为SERVERCERT中取出公钥和用户信息生 成证书请求,并写入到server.csr文件中。

      之后会在你的当前工作目录下生成一个server.csr的文件。

  3. 用根证书对证书请求文件做签名,并生成服务证书

    keytool -gencert -infile d:\server.csr -outfile d:\servercert.cer -alias ROOTCERT -keystore d:\rootlib.jks -validity 36500

    命令解释:使用别名为ROOTCERT的私钥对server.csr证书请求进行签发证书,并导入到servercert.cer 文件中。

  4. 将根证书添加到浏览器受信任的根证书颁发机构中

    • keytool -exportcert -alias ROOTCERT -file d:\root.cer -keystore d:\rootlib.jks -validity 36500

      命令解释:从rootlib.jks将别名ROOTCERT的证书导出到root.cer文件中

    • D:根目录会有五个文件
      文件

  5. 配置tomcat,使之支持https,并为它指明已经签发好的服务证书的路径,我们先要更新serverlib.jks中的证书(用根证书签发好的应用证书–servercert.cer)

    • keytool -importcert -alias SERVERCERT -file d:\servercert.cer -keystore d:\serverlib.jks

      此时会报:无法从回复中建立链(这是因为更新的证书无法信任)。我们先要将根证书导入到serverlib.jks中,使之信任

    • keytool -importcert -alias TRUSTCERT -file d:\root.cer -keystore d:\serverlib.jks

    • keytool -importcert -alias SERVERCERT -file d:\servercert.cer -keystore d:\serverlib.jks

      注意:更新证书时的别名不能写错,否则keytool工具会认为添加。

  6. 配置tomcat,修改server.xml文件

 <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"

               minSpareThreads="5" maxSpareThreads="75"
               enableLookups="true" disableUploadTimeout="true"
               acceptCount="100"  maxThreads="200" SSLEnabled="true" 
               scheme="https" secure="true"
               keystoreFile="E:/key/serverlib.jks" keystorePass="123456"
               clientAuth="false" sslProtocol="TLS"/>
      clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证,这里我们一般只做服务器验证
      keystoreFile:服务器证书文件路径
      keystorePass:服务器证书密码
      truststorePass:根证书密码

7. 部署项目跑起来,访问8443端口就能看到https了
部署后的链接

实现http默认跳转https

  • 修改Tomcat web.xml 在web-app标签结束前加上以下配置

     <security-constraint>  
        <!-- Authorization setting for SSL -->  
        <web-resource-collection >  
            <web-resource-name >SSL</web-resource-name>  
            <url-pattern>/*</url-pattern>  
        </web-resource-collection>  
        <user-data-constraint>  
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>  
        </user-data-constraint>  
    </security-constraint>
    
  • 配置部分请求使用https,xxx为你请求的路径

    <url-pattern>/XXX/*</url-pattern>

安装证书

  1. 双击root.cer

这里写图片描述

  1. 点击安装证书,然后下一步,注意:
    这里写图片描述

    在证书存储时,选择放入指定的证书存储,点击浏览,选择受信任的根证书颁发 机构,然后确认,下一步,完成,确认添加,即可。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值