Tomcat 8 配置ssl证书(.pfx)实现 https 访问

最新推荐文章于 2024-05-28 17:46:39 发布
最新推荐文章于 2024-05-28 17:46:39 发布
阅读量7k 收藏 15
点赞数 6
分类专栏: 域名相关 Web服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zgphacker2010/article/details/108096617
版权

最近项目要验收,剩下软件安全那块内容(如下图),网站需要升级 https 访问,所以我们要从域名申请的网站里把ssl证书下载下来,并配置到 服务器中,对应用系统进行升级优化。由于域名是由同事负责申请并下载(tomcat)好的,我负责配置测试工作。完成这个网站 升级 https 工作,期间碰到了很多问题也走了很多弯路,网上的很多资料都是抄袭的(或不完整,很是郁闷)。不过最终也是完成了工作,正常最多半天可以完成的,我这边花了 1 天多的时间,因为查找资料碰到很多问题。在此特别记录以下网站升级过程。

 

特别说明

因为网站升级,需要升级到 域名、外网 ip 、端口 等内容。我假设如下

网站域名: www.java.cn

外网ip     :    120.0.0.1

端口        :    443、8443 (https端口,其中 443 为 https 默认端口)

tomcat版本:apache-tomcat-8.0.53

tomcat目录:D:\server\apache-tomcat-8.0.53

 

1、ssl证书下载(tomcat服务器)

接上一篇博客,如何申请阿里云免费SSL证书(可用于https网站)并下载下来

最后一步,将证书下载到本地

下载证书的时候,选择 tomcat 下载,下载后的内容如下(第一个文件为.pfx 格式的证书,第二个是密码 后面配置需要的 ):

2、ssl证书上传到 服务器。

在服务器上的应用服务器( tomcat8 )中, 创建一个 cert 文件夹,并进将 证书上传到 cert 目录

 

3、配置应用服务器(tomcat):修改 server.xml文件开启 https 并添加相关内容。

说明:修改前先备份 server.xmlD:\server\apache-tomcat-8.0.53\conf\server.xml ),

找到 server.xml ,打开并找到 https 配置相关部分。( 文件中第 77 行开始注释部分,默认https配置是被关闭的 ,升级https需要开启

这里我们拷贝相关的内容,把证书信息也配置上去。截图如下:

重要说明
1、keystoreFile 为ssl证书( pfx 格式)文件路径
2、keystorePass 为证书密钥,在pfx-password.txt 文件中可以找到。
3、port 为 https 访问端口。即使用 https 访问方网站时,后面跟上的端口号是 8443 .

配置代码( tomcat 8 与 8.5 适用):

<!-- http ~ https acces HTTP/1.1  org.apache.coyote.http11.Http11NioProtocol  -->
	<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="1000" acceptCount="1000" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
			   keystoreFile="D:\server\apache-tomcat-8.0.53\conf\cert\3317168_java.cn.pfx"
			   keystoreType="PKCS12"
			   keystorePass="123456"
			   ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256" />

好了,到此已经网站已经升级了 https 访问。

现在可以使用 https 访问网站(必须加上https端口才能访问):

https://www.java.cn:8443/Web

原来的访问方式(http两种方式访问,公网ip 或 域名),假设外网端口为 8080:

http://120.0.0.1:8080/Web

http://www.java.cn:8080/Web

 

4、配置应用服务器(tomcat):使用默认端口80、443访问应用系统

大家都知道,一般我们输入一个网址,就能打开一个网站并不需要输入端口号就可以正常访问,那是因为使用了默认端口配置。

一般的,http 访问默认端口(即不输入端口号)是 80 , https 默认端口 是 443 .

例如:输入 www.baidu.com ,就能访问到百度搜索的主页,看看浏览器和服务器都做了啥。

第一步:在浏览器中输入 www.baidu.com , 打开浏览器控制台(这里使用的是 google chrome浏览器)

发现浏览器第一次方式使用 http (80端口)访问,然后请求被转发到 https 访问地址上

因为服务器做了转发,自然而是 使用 https ( 443 ) 端口访问并返回到主页:

总结:显然 http 和 https 访问都是使用默认端口访问网站的,因为我们没有在任何地方输入端口访问。

一般项目升级基本都会要求使用 https 及默认端口访问网站(即像刚刚输入百度域名那样,就可以直接访问百度搜索主页):为了达到同样的目录,现在我们也修改相关配置文件

找到 tomcat 服务器的server.xmlD:\server\apache-tomcat-8.0.53\conf\server.xml ):

修改 http 访问端口为默认端口: 80 ;redirectPort 为 443 .

修改后:

修改 https 访问端口为默认端口: 443

修改后:

注意改了 任意一处 redirectPort (https端口),其他地方也要改,端口保持一致。

好了,到此已经网站已经升级了 http及https 默认端口访问系统。

现在可以使用 https 访问网站(默认端口):

https://www.java.cn/Web

原来的访问方式(默认端口,http两种方式访问,公网ip 或 域名):

http://120.0.0.1/Web

http://www.java.cn/Web

 

注意,配置到这个时候,使用http + 域名访问,不会跳转到 https访问。请看第 5 步:

 

5、配置应用服务器:http 自动转为 https 访问配置

此操作步骤之前,网站虽然配置了https , 并可以访问。但是还是可以使用 http 直接访问的,如果原来的http也能访问(保留),就不需要此步骤了。原来的访问方式(http两种方式访问,公网ip 或 域名)。

如果网站为了安全,需要强制将 http 转为 https , 则需要做如下配置:

找到 tomcat 配置文件 web.xml ( ‪D:\server\apache-tomcat-8.0.53\conf\web.xml )

打开文件到底部,在  </webcome-file-list> 结束标签后面,加入如下代码:

<!--  http redirectTo https :   Authorization setting for SSL  --> 
	<login-config>  
		<auth-method>CLIENT-CERT</auth-method>  
		<realm-name>Client Cert Users-only Area</realm-name>  
	</login-config>  
	<security-constraint>  
		<web-resource-collection >  
			<web-resource-name >SSL</web-resource-name>  
			<url-pattern>/*</url-pattern>  
		</web-resource-collection>  
		<user-data-constraint>  
			<transport-guarantee>CONFIDENTIAL</transport-guarantee>  
		</user-data-constraint>  
	</security-constraint>

到此,在浏览器中输入http访问系统,将强制跳转到 https 进行访问。

 

现在可以使用 https 访问网站(默认端口):

https://www.java.cn/Web

原来的访问方式(默认端口,http两种方式访问,公网ip 或 域名):

http://120.0.0.1/Web    将跳转到   https://120.0.0.1/Web

http://www.java.cn/Web  将跳转到  https://www.java.cn/Web

效果图(仅供参考):

 

6、网站升级https中常见的问题

温馨提示:本文章只 针对 Tomcat 8 进行配置。

 

1)应用服务器配置好 https 端口及证书后,浏览器访问不了(不管是默认端口访问,还是其他端口)

一般情况下,主要原因是 windows 防火墙需要开启端口(内网端口),此外可能还需要做端口映射管理(外网与内网端口配置,如不清楚则要找网络管理员)

windows防火墙配置可访问端口:

请依次打开:控制面板   >  系统和安全 > Windows 防火墙

点击 window 防火墙,点击左侧菜单: 高级设置

在左侧:入站规则中,可以看到系统已经防火墙已经添加的端口及程序,

这里我们 添加 8443 端口为例:

单击右边新建规则,选择 端口 并下一步,输入端口并下一步

到此,windows防火墙配置完毕。

2)如果第一步仔细检查后没有问题,浏览器访问不了(不管是默认端口访问,还是其他端口)

此时很有可能是 应用服务器 ( tomcat ) 配置出现问题,需要打开应用服务器 的 logs 目录,查看日志检查问题。本人出现过配置https后访问不了的问题,由于网上的资料参差不齐或不完整导致配置错误。PS : tomcat 不同的版本,配置文件中的属性名或属性值都可能不太一样(这是问题的关键)。

3)Tomcat 其他版本配置

Tomcat 7 配置:

阿里云官方安装PFX格式证书

Tomcat配置SSL证书(PFX证书)

 

Tomcat 9 配置:

需要去网络中查询相关资料

 

感谢以下网友提供的资料:

Tomcat配置SSL证书(PFX证书)

Tomcat 8.5 配置https协议、http自动转向https(证书文件为 .pfx 格式)

 

 

 

 

 

zgphacker2010
关注
  • 6
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
Linux Tomcat 环境搭建与配置ssl证书-实现http自动跳转https
隔壁-老阳
07-12 736
java jdk环境部署,解压jdk至app目录 tar zxvf jdk-8u60-linux-x64.tar.gz -C /app/ ln -s jdk1.8.0_60 jdk #名字太长,建软链接 配置java jdk环境变量,写入系统/etc/profile配置文件 cat >> /etc/profile << 'EOF' export JAVA_HOME=/app/jdk export PATH=$JAVA_HOME/bin:$JAVA_HOME/jre/bin
Tomcat 配置 .pfx格式 SSL证书
深蓝之翼的博客
01-05 1525
1.证书来源: a. 阿里云或者腾讯云申请免费的证书 b. JDK生成证书(这种方式生成的证书,用浏览器访问时会显示不受信任的证书,这个是正常情况) 本教程使用的是阿里申请的免费证书。获得的证书文件如下 其中pfx-password.txt文件中的就是证书密码 2.环境 Windows 10, Tomcat 8, .pfx格式证书 3.Tomcat配置证书 修改To...
配置问题】一起学习 tomcat8.5 配置 https(我也用上https了!)
sunshine2285的博客
05-15 3166
文章目录Why httpstomcat 8.5配置https注意事项 Why https? HTTP 明文传输,数据都是未加密的,安全性较差,HTTPSSSL+HTTP) 数据传输过程是加密的,安全性较好。 使用 HTTPS 协议需要到 CA(Certificate Authority,数字证书认证机构) 申请证书,一般免费证书较少,因而需要一定费用。证书颁发机构如:Symantec、Co...
Go使用pfx格式证书私钥RSA签名数据
最新发布
haime的博客
05-28 296
使用Golang读取pfx格式证书里面的私钥,用RSA算法签名数据。
Tomcat8配置HTTPS
一只没有脚的鸟
07-13 1121
直接看配置,多余的注释都已经删除了 server.xml <?xml version="1.0" encoding="UTF-8"?> <Server port="8005" shutdown="SHUTDOWN"> <Listener className="org.apache.catalina.startup.VersionLoggerListener" /> <!-- Security listener. Documentation at /docs/
Tomcat配置pfx证书使其达到Https协议
ZhenBin_Shen的博客
12-16 179
参数配置
Tomcat 配置https证书(.pfx)
w345731923的专栏
04-08 4566
前言: 本文讲述tomcat服务器实现https协议,如何配置ssl证书。使用阿里云的免费证书,这里我们只讲一下pfx文件证书。 步骤: 1、配置、验证、获取阿里云免费证书。 申请的是阿里云的免费证书,下载tomcat版的证书文件 里面有4个文件分别是: xxxx.key、xxxx.pem、xxxx.pfx、password.txt 阿里云帮助中心介绍:https://help.aliy...
Tomcat配置SSL证书PFX证书
热门推荐
jerryzhou的博客
07-29 1万+
Symantec 提供免费版 SSL,可快速免费申请 一、什么是SSL证书)?     SSL证书服务(Alibaba Cloud SSL Certificates Service)由阿里云联合多家国内外数字证书管理和颁发的权威机构、在阿里云平台上直接提供的服务器数字证书。您可以在阿里云平台上直接购买、或者免费获取所需类型的数字证书,并一键部署在阿里云...
Tomcat9.0安装JKS格式SSL证书.rar
04-28
5. **验证配置**:最后,你可以通过访问HTTPS URL来测试SSL证书是否正确配置并工作正常。 在提供的资源中,"web.xml"和"server.xml"可能已经包含了用于配置SSL证书的示例或者预设内容。你需要根据自己的实际情况,...
Tomcat 开启基于httpsSSL配置
05-28
Tomcat 开启基于 HTTPSSSL 配置 在互联网时代,安全性问题...配置 TomcatHTTPS 需要具备 SSL 证书,生成 JKS 格式证书,并在 Tomcat配置 HTTPS。这样,我们就可以使用 HTTPS 协议,保护用户的隐私和数据。
Tomcat更换SSL证书方法(jks与pfx转换)
07-22
该文档提供JKS转换为PFX的方法 使用JWSDP工具包中的工具 •安装J2SE 1.5,下载并运行jdk-1_5_0_09-windows-i586-p.exe •下载并安装jave web service develop pack, jwsdp-2_0-windows-i586.exe •创建一个新的...
tomcat8增加ssl证书
06-07
增加ssl证书,用https访问,修改tomcat配置。路径:/.../tomcat/conf/server.xml
nginx+tomcat8 ssl使用https访问
06-10
NULL 博文链接:https://youngbrick.iteye.com/blog/2336806
一键脚本自动生产tomcatpfx格式证书
10-28
标题 "一键脚本自动生产tomcatpfx格式证书" 提及的是一个自动化脚本,其目的是为了方便地创建适用于Tomcat服务器的PFX格式证书PFX(Personal Information Exchange)证书是一种包含私钥和公钥的二进制格式文件,...
SSL证书安装.zip
10-25
- **配置Apache**:编辑`httpd.conf`或特定的虚拟主机配置文件,添加SSL模块,配置SSL监听端口,并将证书文件路径插入到配置中。 2. **IIS服务器安装SSL证书** IIS是Windows Server上的Web服务器。安装过程如下:...
Tomcat SSL配置
弑忆 的专栏
12-02 578
1 生成:keytool -genkey -alias tomcat -keyalg RSA     或 keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600 --------------------
tomcat8使用SSL
faster
10-14 2289
tomcat8使用SSL准备环境:tomcat 8.0.36 + jdk jdk1.8.0_121 准备环境:tomcat 8.0.36 + jdk jdk1.8.0_121 tomcat8.0.36使用https。 在**%JAVA_HOME%/bin**目录下有一个keytool工具,可用来生成一个存放服务器私钥和自签名证书的文件。使用如下命令来生成这个文件; 命令: keytool -v...
如何让tomcat由http升级https
qq_42784229的博客
02-18 2271
http的安全性相对于https较低,所有我们要升级为https来提高我们的安全性。 下面就是如何来配置我们的服务器为https 首先呢我们要生成可信任的证书,生成的方式呢,是使用的是jdk的keytool,使用它来生成一个ssl证书,在这里需要注意的是jdk版本必须是1.8以上,不然后面会报错(切记)。 打开Windows PowerShell,输入keytool -genkey -al...
Tomcat的http改为https的步骤、方法
qq_25293281的博客
05-23 207
第一:打开命令符输入:keytool -genkey -alias tomcat -keyalg RSA -keystore D:\\a.keystore输入密码:111111姓氏:hhl区域名称: china国家/地区代码:cn是否正确:     y其它不用填写;然后在D盘会有a.keystore的文件,这就是证书配置文件第二:打开tomcat的conf目录的server.xml文件,添加以下内...
在阿里云申请到tomcat服务器的ssl证书,后缀名为.pfx,如何在ubuntu系统配置https协议呢?
06-09
在Ubuntu系统上配置https协议需要进行以下步骤: 1. 将.pfx证书转换成.pem格式的证书文件。 可以使用openssl命令将.pfx证书转换成.pem格式的证书文件,命令如下: ``` openssl pkcs12 -in cert.pfx -out cert.pem -nodes ``` 其中,cert.pfx为你的证书文件名,cert.pem为转换后生成的证书文件名。 2. 将证书文件放置到Tomcat的conf目录下。 将转换后的证书文件(cert.pem)和私钥文件放到Tomcat的conf目录下,可以放置在一个文件夹中,例如/opt/tomcat/conf/ssl。 3. 修改Tomcat的server.xml文件。 在Tomcat的server.xml文件中修改配置,添加以下内容: ``` <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" keystoreFile="/opt/tomcat/conf/ssl/cert.pem" keystoreType="PEM" keystorePass="your_password" clientAuth="false" sslProtocol="TLS"/> ``` 其中,keystoreFile为证书文件的路径,keystoreType为证书文件的类型,keystorePass为证书文件的密码。 4. 重启Tomcat服务器。 重启Tomcat服务器,使配置生效。 5. 测试https协议是否生效。 在浏览器中输入https://your_domain_name,如果可以正常访问,则https协议已经生效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值