tomcat安装目录:/home/tomcat
1、生成ssl证书文件
mkdir /home/tomcat/cert
keytool -genkey -alias tomcat -keyalg RSA -validity 3650 -keystore /home/tomcat/cert/.keystore
keytool -genkey:自动使用默认的算法生成公钥和私钥
-alias[名称]:给证书取个别名
-keyalg:制定密钥的算法,如果需要制定密钥的长度,可以再加上keysize参数,密钥长度默认为1024位
-keystore:参数可以指定密钥库的名称。密钥库其实是存放迷药和证书文件,密钥库对应的文件如果不存在会自动创建。
-validity:证书的有效日期,默认是90天
-keypass changeit:不添加证书密码
-storepass changeit:不添加存储证书的密码
输入keystore密码:
再次输入新密码:
您的名字与姓氏是什么?
[Unknown]: Lee
您的组织单位名称是什么?
[Unknown]: SL
您的组织名称是什么?
[Unknown]: SL
您所在的城市或区域名称是什么?
[Unknown]: SZ
您所在的州或省份名称是什么?
[Unknown]: SZ
该单位的两字母国家代码是什么
[Unknown]: CN
CN=Lee, OU=SL, O=SL, L=SZ, ST=SZ, C=CN 正确吗?
[否]: y
输入<tomcat>的主密码 123456
(如果和 keystore 密码相同,按回车): 123456
2、配置tomcat server.xml文件
找到下面的配置位置:
<!-- Define a SSL HTTP/1.1 Connector on port 8443
This connector uses the BIO implementation that requires the JSSE
style configuration. When using the APR/native implementation, the
OpenSSL style configuration is required as described in the APR/native
documentation -->
<!--
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
-->
新增:
<Connector port="8443" protocol="HTTP/1.1"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
URIEncoding="utf-8"
clientAuth="false"
keystoreFile="/home/tomcat/cert/.keystore"
keystorePass="123456"
sslProtocol="TLS"
sslEnabledProtocols="TLSv1.2"
/>
3、重启tomcat,验证
cd /home/tomcat/bin && ./shutdown.sh
./startup.sh
4、配置http自动跳转https
修改conf/web.xml配置
<welcome-file-list>
<welcome-file>/</welcome-file>
</welcome-file-list>
<security-constraint>
<web-resource-collection>
<web-resource-name>sslwebsokect</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
注意如果http配置中存在redirectPort=8015,确保该端口要和https配置端口8443一致。
再次重启tomcat,验证即可。