tomcat运行模式
BIO
默认的模式,性能非常低下,没有经过任何优化处理和支持。 具体表现为
- 一个线程处理一个请求。
- 并发量高时,线程数较多,浪费资源。
- Tomcat7或以下,在Linux系统中默认使用这种方式。
NIO
APR
- Apache Portable Runtime,从操作系统层面解决io阻塞问题。
- Tomcat7或Tomcat8在Win7或以上的系统中启动默认使用这种方式。
- 必须要安装apr和native,直接启动就支持apr。
配置https单向认证
单向认证
- 保证server是真的,通道是安全的(对称密钥);
- client从server处拿到server的证书,通过公司的CA去验证该证书,以确认server是真实的;
- 从server的证书中取出公钥,对client端产生的一个密钥加密(该密钥即对称密钥)。将加密后的密钥发送到server端。server端用其私钥解密出数据,即得到了对称密钥;
- 以后的交易都是http+该对称密钥加密的方式来处理;
BIO单向认证
对于7.0以及以前的tomcat版本默认使用的是BIO模式,因此只需将配置文件(server.xml)中关于https配置的部分去掉注释如下,对于tomcat7以上的版本则将类似下述代码加入配置文件即可。
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile=".keystore" keystorePass="password"/>
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile=".keystore" keystorePass="password"/>
NIO单向认证
Tomcat8在Linux系统中默认使用NIO模式
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile=".keystore" keystorePass="password"/>
以上两种模式的配置中均用到了keystore文件,keystore文件可通过如下命令生成到用户目录下(仅供参考)
keytool -genkey -alias tomcat -keyalg RSA -validity 36500
其中 ‘password’为生成证书时所填写的密码。
APR单向认证
<Connector protocol="org.apache.coyote.http11.Http11AprProtocol"
port="8443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
SSLCertificateFile="/opt/tomcat/conf/ca.crt"
SSLCertificateKeyFile="/opt/tomcat/conf/server.key"
SSLVerifyClient="optional" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"/>
其中pem文件的生成方式可参考如下:
openssl genrsa -out server.key 1024
openssl rsa -in server.key -out server.key
openssl req -new -x509 -key server.key -out ca.crt -days 3650
此处为了兼容jdk1.6生成证书的时候指定了
1024 ,不然jdk1.6客户端应用请求服务的时候会出现以下异常信息
Caused by: java.security.InvalidAlgorithmParameterException: Prime size must be multiple of 64, and can only range from 512 to 1024 (inclusive)
at com.sun.crypto.provider.DHKeyPairGenerator.initialize(DashoA13*..)
at java.security.KeyPairGenerator$Delegate.initialize(Unknown Source)
除此之外还需安装tomcat-native资源
windows安装native
下载tomcat-native ,将压缩包中的bin\x64\tcnative-1.dll放到tomcat bin目录下
linux安装native
- apr安装(v1.5.2)
tar -xvf apr-1.5.2.tar.gz
cd apr-1.5.2
./configure --prefix=/usr/local/apr
make
make install
- apr-util安装(v1.5.4)
tar -xvf apr-util-1.5.4.tar.gz
cd apr-util-1.5.4
./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr
make
make install
- openssl安装(1.0.2h) openssl要求预装 perl5.0
tar -xvf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h
./config shared --prefix=/usr/local/ssl
make depend
make
make install
- tomcat-native(1.2.7)安装
cd $CATALINA_HOME/bin
tar -xvf tomcat-native.tar.gz
cd tomcat-native-1.2.7-src/native
./configure --with-apr=/usr/local/apr --with-ssl=/usr/local/ssl
make
make install
该处需要注意 --with-apr 以及 --with-ssl 的指定,如果未配置JAVA_HOME,此处应指定 --with-java-home 参数 启动tomcat即可
总结
本文中所提到的几种模式配置单向认证https服务,对于1.7以及以上版本jdk应用作为客户端调用的时候都没有任何问题。
然而jdk1.6客户端应用对于默认禁用了SSLv3协议的tomcat7.0.57以及以上版本所发布的https(BIO & NIO)服务却无法请求服务 。因此经过实践可通过配置APR模式进行兼容。当然,不排除还有其他方案解决此类问题。
参考资料