一、证书申请途径
- 到证书代理机构购买相关证书(目前阿里云或者腾讯云也是可以购买的)
- 使用letsencrypt 或者https://sslforfree.com 申请免费证书
- 如果是开发测试可以使用jdk自带的keytools生成https证书:可参考 https://blog.csdn.net/u014553029/article/details/88219617
二、配置tomcat
配置Tomcat服务器server.xml
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true"
scheme="https"
secure="true"
maxThreads="1000"
acceptCount="2000"
clientAuth="false"
sslProtocol="TLS"
connectionTimeout="30000"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"
keystoreFile="/home/data/ssl/oyc.jks"
keystorePass="123456"
port="443"
redirectPort="9453"/>
属性说明:
clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证
keystoreFile:服务器证书文件路径
keystorePass:服务器证书密码
注意:
- 设置clientAuth属性为True时,需要手动导入客户端证书才能访问。
- 要访问https请求 需要访问443端口,访问http请求则访问Tomcat默认端口(你自己设置的端口,默认8080)即可。
总结:
经过以步骤,当使用HTTPS 端口为443 进行访问的时就是经过SSL信息加密,不怕被截获了。
通话的双方,必须是都拥有证书的端,才能进行会话,换句话说,就是只有安装了咱证书的客户端,才能与服务器通信。(工作原理https://blog.csdn.net/u014553029/article/details/114156686)
三、让客户端信任服务器证书
如果是使用CA代理机构申请的证书,因为他们的根证书是存储在我们的系统或者浏览器中的,所以我们访问自己的网站的证书可以使用这些根证书校验,不会出现提示不安全而无法访问的情况,但是如果我们是通过自己的渠道申请的证书,很可能会被浏览器鉴定为不可信或者我们使用java程序调用接口也会出现PKIX path building failed等错误导致请求无法发出。
解决方案如下:
(1)程序信任问题解决
由于是双向SSL认证,客户端也要验证服务器证书,因此,必须把服务器证书添加到浏览器的"受信任的根证书颁发机构"。
由于不能直接将keystore或者jks格式的证书库导入,必须先把服务器证书导出为一个单独的CER文件。
导入命令:
keytool -import -keystore /home/data/JDK/jdk1.8.0_161/jre/lib/security/cacerts -storepass changeit -keypass changeit -alias oyc -file /home/data/ssl/oyc.cer
注意:
将/home/data/JDK/jdk1.8.0_161/jre/lib/security/cacerts 改成项目部署的jdk路径
将/home/data/ssl/oyc.cer改成具体证书上传路径
(2)浏览器信任问题解决
一般不用解决,因为申请的证书的根证书是已经存在的。特殊情况下我们要测试可以通过以下方式导入证书到浏览器中。
双击oyc.cer文件,按照提示安装证书,
将证书填入到“受信任的根证书颁发机构”。
填入方法:
打开浏览器-工具-internet选项-内容-证书-把中级证书颁发机构里的www.oycyqr.com
(该名称即时你前面生成证书时填写的名字与姓氏)证书导出来-再把导出来的证书导入 受信任的根颁发机构 就OK了。
四、tomcat其他配置方式:
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="1000" acceptCount="2000" SSLEnabled="true" defaultSSLHostConfigName="www.oyc.com">
<UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
<SSLHostConfig hostName="www.oyc.com">
<Certificate certificateKeyFile="/home/data/ssl/privkey.pem"
certificateFile="/home/data/ssl/cert.pem"
certificateChainFile="/home/data/ssl/chain.pem"
type="RSA" />
</SSLHostConfig>
</Connector>