Tomcat下HTTPS(SSL)搭建工作的始末

        此文章是本人工作记录,写的不好请见谅。主要内容是:介绍HTTPS搭建的整个过程,包含“SSL证书申请方法”、“SSL证书相关介绍”、“Tomcat下配置方法”以及“对外端口的配置方法”。到此,你肯定已经知道这是一篇技术贴,不感兴趣的朋友就绕道吧,下面我要开始讲正式内容了。

        当下,政府网站、大型企/事业网站、电商平台、交易平台等越来越多的网站开始从HTTP转向更安全的HTTPS超文本协议。如果你对HTTPS不够了解,只要记住一个公式: HTTPS=HTTP+SSL。公式不官方,能帮助你理解就行。H TTPS的好处我就不多绍了,简单说就是这个协议会让网站更多安全!所以毋庸置疑,这是趋势。

        我公司在近期的项目中,应客户要求需要使用HTTPS。借此机会,有幸进一步学习。然而在此之前,我对HTTPS仅限于平时看到的,查过一些资料,并没有自己亲自动手搭建过。对此项任务充满未知,在汇报工作时给自己预留了1-2周的时间(实践证明时间充足)。

总体步骤:

S1:根据实际情况确定购买的SSL服务类型

S2:找SSL代理商,购买服务

S3:提供客户资料,用于申请证书

S4:等待审核,一般为2-5天左右

S5:收到邮箱返回证书代码

S6:生成证书

S7:配置TOMCAT

S8:配置兼容性

S9:配置域名访问协议

 

        任务通知下来,我像往常一样淡定的、微笑着开始了一天的工作。鬼知道我心里的波涛汹涌。废话不说,赶紧回座位补习姿势。成果如下:

STEP1:根据实际情况确定购买的SSL服务类型

1.   SSL证书分类,按照安全级别分3类,这个表格应该能一目了然。

 

 

 

 

2.   按照使用范围分为3类

单域名、多域名、通配符域名。

简单解释一下:多域名指一个证书可以被多个域名使用,通配符是指缀名相同的二级域名(如:x1.jschina.com.cn,x2.jschina.com.cn)都可用。

3.   证书品牌

 

赛门铁克(Symantec)是 SSL/TLS 证书的领先提供商,这个应该是最好最贵的了。

 

 

 Comodo科摩多

 

 

GeoTrust是全球第二大数字证书颁发机构。

 

 

等等其他。。。

 

 

 

 

STEP2:找SSL代理商,购买服务

了解差不多了,上网找服务商,汇报完成购买。结合客户的要求,我们给客户选定了“DV SSL”的“通配符”版本。

STEP3:提供客户资料,用于申请证书

STEP4:等待审核,一般为2-5天左右

STEP5:收到邮箱返回证书代码

            问客户要企业相关资料用于注册,在服务商的帮助下得到BEGIN PRIVATE KEY。要保存好这个KEY以后有大用处。申请完成后,进行漫长的等待(证书厂商会打电话到客户公司去确认身份,所以信息务必填写正确)。

 STEP6:生成证书

收到邮件后,得到证书码  CERTIFICATE,通过服务商的方法生成证书 pfx,生成证书的时候会得到自己设置密码,记住它,有大用处。

本文很多情况下在服务商的帮助下完成,论一个好服务商的重要性。生成证书的时候比较麻烦,耐心点。

STEP7:    配置TOMCAT

         得到证书后,可以说离成功已经不远了。但是,注意啦注意啦,前面是在服务商的帮助下完成的,下面就得靠自己动手了。我们服务是在TOMCAT下搭建的,下面介绍的是TOMCAT下的配置,其他平台搭建可参考对应的方法。

 

    • 第一步:将证书 pfx拷贝到服务器上和TOMCAT同目录(也可视自己情况而定)。我们服务器操作系统是Linux,证书位置:/appdata/java/xxx.pfx
    • 第二步:修改TOMCAT配置:找到 apache-tomcat-7.0.47/conf/server.xml,<Connector port="8443" 标签,增加如下属性

 

keystoreFile="/appdata/java/xxx.pfx"

keystoreType="PKCS12"

keystorePass="pfx格式证书的密码"

 

  •  此处,你要知道http默认端口是80,https端口是443。所以你需要将8443端口改为443,才能直接输入域名访问。

 

此时,若你着急忙慌的重启TOMCAT,你会发现已经能够启动,而且域名https也能够使用。不要高兴的太早,还没有大功告成。经过测试:360、谷歌可以用了,但IE、火狐等浏览器无法使用,这就尴尬了。。。

STEP8:  配置兼容性

         完成最后一步,还是找到server.xml文件只要修改,在刚才的地方加上一段: ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA" 

最终<Connectorport="443" 这一段完整配置如下:

<Connectorport="8088" protocol="HTTP/1.1"  URIEncoding="UTF-8"

                   maxThreads="150"SSLEnabled="true" scheme="https" secure="true"

                   keystoreFile="/appdata/java/xxx.pfx "

                   keystoreType="PKCS12"

                   keystorePass="pfx格式证书的密码"

                   clientAuth="false"sslProtocol="TLS" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"  />

到此,重启TOMCAT你已经可以通过 https://你的域名来访问你的网站

但你会发现, 如果你只在浏览器里输入你的域名,还是会跳到http而不是https,若想实现此效果,接着往下看。

STEP9:  配置域名访问协议

         操作需要2个步骤:

 

  • n  配置server.xml文件,

 

在server.xml中找到http的端口配置

<Connectorport="80" protocol="HTTP/1.1"

              connectionTimeout="20000" URIEncoding="UTF-8"

               redirectPort="8443"/>

将此处的8443,改为443。

<Connectorport="80" protocol="HTTP/1.1"

              connectionTimeout="20000" URIEncoding="UTF-8"

               redirectPort="443"/>

 

 

  • n  配置apache-tomcat-7.0.47/conf/web.xml文件

 

找到</welcome-file-list>,然后在后面追加

 

<login-config> 

    <!-- Authorization settingfor SSL -->  

  <auth-method>CLIENT-CERT</auth-method>  

    <realm-name>Client CertUsers-onlyArea</realm-name>  

</login-config>  

<security-constraint>  

    <!-- Authorization settingfor SSL -->  

    <web-resource-collection > 

       <web-resource-name>SSL</web-resource-name>  

      <url-pattern>/*</url-pattern>  

    </web-resource-collection> 

    <user-data-constraint> 

      <transport-guarantee>CONFIDENTIAL</transport-guarantee> 

    </user-data-constraint> 

</security-constraint>  

 

重启TOMCAT访问,确认没有问题,你就可以歇息了。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值