概念简介
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试 JSP 程序的首选。
HTTP 超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。
HTTPS和HTTP的区别
一、HTTP 是超文本传输协议,信息是明文传输,HTTPS 则是具有安全性的 SSL 加密传输协议。
二、HTTPS 协议需要到 CA 申请证书,一般免费证书很少,需要交费。
三、HTTP 和 HTTPS 使用的是完全不同的连接方式,用的端口也不一样,前者是 80,后者是 443。
四、HTTP 的连接很简单,是无状态的;HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全。
Tomcat下载安装
Tomcat 需要在 Java 环境下运行,因此在搭建 Tomcat 前需要准备好 Java环境,此处不再详述 Java 环境的搭建。本文中 Java 版本为”jdk1.8.0_73(jre8)“。Tomcat 由 Apache 官方提供免费下载。
第一步: 下载 Apache Tomcat
Tomcat 官方下载地址:http://tomcat.apache.org/
进入 Apache Tomcat 的官方页面后,在 Download 栏目下选择 Tomcat 版本后在右侧选取下载资源。此处选择的版本是”Tomcat 8.5.66,64-bit Windows zip (pgp, md5, sha1)“,即适用于在 Windows 64 位操作系统下的免安装压缩包。
第二步: 解压至指定目录
将下载下来的压缩包解压到硬盘目录,该目录即为 Tomcat 的安装目录,本文中 apache-tomcat-8.5.66 被解压至 Tomcat 文件夹下。
Tomcat 配置运行
第一步:配置环境变量
右键“此电脑”,选择“属性”,打开系统属性页面(该操作同样可在 控制面板→系统和安全→系统 中实现)。点击“高级系统设置”,选择“用戶变量”。在”系统变量“栏目下点击”新建“。
变量名处输入”CATALINA_HOME“,变量值为 Tomcat 的安装路径,在本文中即为:E:\Program Files\apache-tomcat-8.5.66 配置完成后点击确定。
在”用戶变量“栏目下的变量列表中找到”Path“,选定后点击”编辑“。
在变量值末尾输入环境变量E:\Program Files\apache-tomcat-8.5.66\bin
第二步:使用命令提示符运行
检查配置是否成功,运行 cmd,输入“startup”命令回车,如果命令成功执行,则会启动 Tomcat 服务,并弹出 Tomcat 的执行程序。
第三步:访问 Tomcat 服务主页
在 Tomcat 服务程序运行状态下,打开浏览器,在地址栏输入”http://localhost:8080“(8080是 Tomcat 默认的端口号)后跳转,如果成功载入并显示 Tomcat 服务的主页,则说明 Tomcat 服务器环境已经成功搭建。
1、为服务器生成证书
进入控制台,切换到%JAVA_HOME%/bin目录,具体操作略。(打开DOS窗口,通过命令进入到jdk的bin目录下。下边所有步骤都是在此路径下完成。)
使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件想要存放在“E:\sslca\tomcat.keystore”,口令为“password”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -keystore E:\sslca\tomcat.keystore -validity 730
(参数简要说明:“E:\sslca\tomcat.keystore”含义是将证书文件的保存路径(其中E:\sslca,是你自己新建的,而tomcat.keystore才是自动生成的,所以要提前在某个盘下新建某个文件夹,以便放自动生成的文件,名字可以自己取,后边统一都用这个文件夹放自动生成的文件),证书文件名称是tomcat.keystore ;“-validity 730”含义是证书有效期,730表示2年,默认值是90天 “tomcat”为自定义证书名称)。
在命令行填写必要参数:
A、 输入keystore密码:此处需要输入大于6个字符的字符串。
B、 “您的名字与姓氏是什么?”这是必填项,并且必须是TOMCAT部署主机的域名或者IP[如:gbcom.com 或者 10.1.25.251](就是你将来要在浏览器中输入的访问地址),否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”。(这块很重要)
C、 你的组织单位名称是什么?”、“您的组织名称是什么?”、“您所在城市或区域名称是什么?”、“您所在的州或者省份名称是什么?”、“该单位的两字母国家代码是什么?”可以按照需要填写也可以不填写直接回车,在系统询问“正确吗?”时,对照输入信息,如果符合要求则使用键盘输入字母“y”,否则输入“n”重新填写上面的信息。
D、 输入<tomcat>的主密码,这项较为重要,会在tomcat配置文件中使用,建议输入与keystore的密码一致,设置其它密码也可以,完成上述输入后,直接回车则在你在第二步中定义的位置找到生成的文件。
2、为客户端生成证书
为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成:
keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore E:\sslca\mykey.p12
(mykey为自定义)。
对应的证书库存放在“E:\sslca\mykey.p12”,(这一块的解释与第一步相同)客户端的CN可以是任意值。双击mykey.p12文件,即可将证书导入至浏览器(客户端)(我统一勾选的信任于本计算机包括下边第四部)。
3、让服务器信任客户端证书
由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,必须先把客户端证书导出为一个单独的CER文件,使用如下命令:
keytool -export -alias mykey -keystore E:\sslca\mykey.p12 -storetype PKCS12 -storepass password -rfc -file E:\sslca\mykey.cer 
(mykey为自定义与客户端定义的mykey要一致,password是你设置的密码)。通过以上命令,客户端证书就被我们导出到“E:\sslca\mykey.cer”文件了。
下一步,是将该文件导入到服务器的证书库,添加为一个信任证书使用命令如下:
keytool -import -v -file D:\home\mykey.cer -keystore E:\sslca\tomcat.keystore
通过list命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:
keytool -list -keystore E:\sslca\tomcat.keystore
(tomcat为你设置服务器端的证书名)。
4、让客户端信任服务器证书
由于是双向SSL认证,客户端也要验证服务器证书,因此,必须把服务器证书添加到浏览的“受信任的根证书颁发机构”。由于不能直接将keystore格式的证书库导入,必须先把服务器证书导出为一个单独的CER文件,使用如下命令:
keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file E:\sslca\tomcat.cer
(tomcat为你设置服务器端的证书名,这一步我当时不知道前边这半句所说的证书名是哪个,所以没有更改,直接按照上边的命令做的运行)。
通过以上命令,服务器证书就被我们导出到“E:\sslca\tomcat.cer”文件了。双击tomcat.cer文件,按照提示安装证书,将证书填入到“受信任的根证书颁发机构”。
一共生成4个文件:
5、配置Tomcat服务器
a、(1)打开tomcat配置文件,如:E:\Program Files\apache-tomcat-8.5.66\conf\server.xml,修改如下,
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
修改参数,端口可自定义=>
<Connector port="80" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443" />
(2)注释代码替换以下代码
<!--
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
type="RSA" />
</SSLHostConfig>
</Connector>
-->
替换以下代码=>
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="E:/sslca/tomcat.keystore" keystorePass="12345678"/>注释:
keystoreFile、keystorePass 两个参数,分别是证书文件的位置和<tomcat>的主密码(位置是刚才自动生成的文件存储的位置,密码是刚才设置的密码),在证书文件生成过程中做了设置
b、打开E:\Program Files\apache-tomcat-8.5.66\conf\web.xml,在该文件</welcome-file-list>后面加上这样一段:可以自接跳转到https
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>运行https://localhost发现还有错误。再找了几个教程之后发现需要注释conf\server.xml文件中下面一行。
<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->至此,Tomcat配置https就完成了。
但是会发现:
一、浏览器会对 HTTPS 使用危险标识。(下边部分转载于https://blog.csdn.net/gane_cheng/article/details/53001846)
和正常的标识
不同。看着会让人很不舒服。
二、浏览器默认不会加载非HTTPS域名下的javascript
我了个擦,这和早年的禁用javascript差不多了。已经影响网页的正常运行了。
三、移动设备显示页面空白
手机浏览器打开页面,也会像桌面浏览器一样弹出是否加载不受信任的页面,在微信中打开则会一片空白。
以上种种,导致自己生成的证书无法在生产环境使用。
解决以上问题,需要购买CA的证书。不过我在阿里云上看到有免费的证书申请。https://www.aliyun.com/product/cas
① 申请证书
购买过程就不详细说了。照着阿里云的提示一步一步做就好了。
证书生成后,会得到PFX类型的证书。
② Tomcat 配置PFX证书
打开 Tomcat 配置文件 conf\server.xml。
取消注释,并添加三个属性 keystoreFile,keystoreType,keystorePass。
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="/你的磁盘目录/订单号.pfx"
keystoreType="PKCS12"
keystorePass="订单号" />其中,keystoreFile是PFX证书文件地址,keystorePass是阿里云的订单号,keystoreType直接写PKCS12 。
③ 测试真实域名
重新启动Tomcat,访问你自己的域名,则可以正常使用了。浏览器会有绿色的域名标识,移动设备也正常了。至于http域名下的javascript,还是需要更换为https才能正常加载。
对于要不要使用 https,需要根据实际情况具体考虑,https会比http慢一些,但是会更安全。
局域网iOS企业内部发布及HTTPS服务器配置
新建立一个,访问的安装网页 test.html ,同样把 test.html放到https网站根目录,可以这样用手机safari浏览器,访问https://teso.cocoajin.org/test.html 安装
<html>
<meta http-equiv="content-type" content="text/html; charset=UTF-8" />
<head> <title>app安装 </title> </head>
<body>
<center>
<h2> 请使用苹果的safari浏览器打开本页面,然后点击 安装 </h2>
<font size="13">
<h1><a href="itms-services://?action=download-manifest&url=https://10.196.172.172/iosapp/plist/scada2.plist"> 安装</a> </h1>
</font>
</center>
</body>
</html>重点是这句
<h1><a href="itms-services://?action=download-manifest&url=https://10.196.172.172/iosapp/plist/scada2.plist"> 安装</a> </h1>指向你的https服务器根目录下的 Testapp.plist文件,手机访问它,,它去找指定目录下的 Testapp.ipa,然后根据协议签名规则在手机上下载安装 Testapp
注意:如果你手机测试访问 test.html无法安装,就在 服务器的mime.types 里面,添加一下
application/octet-stream ipa
text/xml plist
mime.types文件目录为 linux下 /etc/mime.types
window服务器 apache/conf/myme.types
4. 上面的都配置完之后,
用 iphone 的safari 浏览器打开 https://10.196.172.172/test.html ,即你指定的访问安装页面,然后在手机里面,点击安装,,然后,打开,
如果你的手机第一次安装某企业证书发布的app时,会提示你信任一下证书,即可;
个人的测试页面及服务器以后可能停掉,请仔细查看流程,自行搭建企业发布平台
Testapp.plist文件示例:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>items</key>
<array>
<dict>
<key>assets</key>
<array>
<dict>
<key>kind</key>
<string>software-package</string>
<key>url</key>
<string>https://10.196.172.172/master/baoke.ipa</string>
</dict>
</array>
<key>metadata</key>
<dict>
<key>bundle-identifier</key>
<string>com.xx.xx.xx</string>
<key>bundle-version</key>
<string>1</string>
<key>kind</key>
<string>software</string>
<key>title</key>
<string>baoke</string>
</dict>
</dict>
</array>
</dict>
</plist>
扫一扫
337
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
