最近因为业务环境问题,将http修改为https访问.第一次搞,总算是通了.做一个记录.
填写资料的时候第一个填写服务域名.以下操作都是在linux中搞的
1.使用jdk的工具生成证书:
服务端证书库
./keytool -genkey -alias tomcat -keyalg RSA -validity 3650 -keystore /home/mpc/tmtomcat8/ssl/tomcat.keystore
客户端证书
./keytool -genkey -alias client -keypass 123123 -keyalg RSA -storetype PKCS12 -keypass 123123 -storepass 123123 -validity 3650 -keystore /home/mpc/tmtomcat8/ssl/client.p12
2.将客户端证书添加到服务端证书库
1.先转换为cer文件,p12无法导入到tomcat.keystore
将客户端证书导出为cre文件,名字需要一致
./keytool -export -alias client -keystore /home/mpc/tmtomcat8/ssl/client.p12 -storetype PKCS12 -keypass 123123 -file /home/mpc/tmtomcat8/ssl/client.cer
2.将客户端证书导入到服务器的证书库,添加为一个信任证书
./keytool -import -v -file /home/mpc/tmtomcat8/ssl/client.cer -keystore /home/mpc/tmtomcat8/ssl/tomcat.keystore
查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书
./keytool -list -v -keystore /home/mpc/tmtomcat8/ssl/tomcat.keystore
3.将证书添加到本地信任列表
1.将服务器证书库导出为证书,证书才能导入到客户端
由于不能直接将keystore格式的证书库导入,必须先把服务器证书导出为一个单独的CER文件,使用如下命令:
./keytool -keystore /home/mpc/tmtomcat8/ssl/tomcat.keystore -export -alias tomcat -file /home/mpc/tmtomcat8/ssl/server.cer
2.运行server.cer,将此服务器证书添加到受信任的根证书颁发机构
3.运行client.p12,将客户端证书导入到个人证书
4.配置Tomcat使SSL生效
1.Tomcat中,配置文件修改
HTTP:80,当选择这个端口,使用HTTP访问服务无须填写端口号
HTTPS:443,当选择这个端口,使用HTTPS访问服务无需填写端口号
还有一个细节,Linux中1024以下的端口只有root用户才能启动.
HTTP端口:
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" />
HTTPS端口:443端口的配置2选1,测试使用的第一个
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="/home/mpc/tmtomcat8/ssl/tomcat.keystore" keystorePass="123123" truststoreFile="/home/mpc/tmtomcat8/ssl/tomcat.keystore" truststorePass="123123" />
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="/home/mpc/tmtomcat8/ssl/tomcat.keystore" keystorePass="123123" truststoreFile="/home/mpc/tmtomcat8/ssl/tomcat.keystore" truststorePass="123123" />
完成以上步骤后,即可使用HTTPS访问服务,但是使用HTTP还是会报错,并没有将HTTP访问转发到HTTPS
2.Tom强制HTTPS访问,,配置这个和web.xml后可以http自动转换成https,
<!-- Authorization setting for SSL -->
<login-config>
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<!-- Authorization setting for SSL -->
<security-constraint>
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
以上在conf/web.xml中配置,配置完成后即可实现使用HTTP访问服务自动转换为HTTPS.