Tomcat配置https及訪問http自動跳轉至https

https介紹:
   HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），是以安全爲目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，所以加密的詳細內容就須要SSL。 它是一個URI scheme（抽象標識符體系），句法類同http:體系。用於安全的HTTP數據傳輸。https:URL代表它使用了HTTPS，但HTTPS存在不一樣於HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統的最初研發由網景公司進行，提供了身份驗證與加密通信方法，如今它被普遍用於萬維網上安全敏感的通信，例如交易支付方面

與http區別:

　   1、https協議須要到ca申請證書，通常免費證書不多，須要交費。

2、http是超文本傳輸協議，信息是明文傳輸，https 則是具備安全性的ssl加密傳輸協議。

3、http和https使用的是徹底不一樣的鏈接方式，用的端口也不同，前者是80，後者是443。       

4、http的鏈接很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。

SSL協議:

　　SSL安全套接層協議(Secure Socket Layer)

　　爲Netscape所研發，用以保障在Internet上數據傳輸之安全，利用數據加密(Encryption)技術，可確保數據在網絡上之傳輸過程當中不會被截取及竊聽。目前通常通用之規格爲40 bit之安全標準，美國則已推出128 bit之更高安全標準，但限制出境。只要3.0版本以上之IE.或Netscape瀏覽器便可支持SSL。

　　當前版本爲3.0。它已被普遍地用於Web瀏覽器與服務器之間的身份認證和加密數據傳輸。

SSL協議位於TCP/IP協議與各類應用層協議之間，是一種國際標準的加密及身份認證通訊協議,爲TCP提供一個可靠的端到端的安全服務，爲兩個通信個體之間提供保密性和完整性(身份鑑別)。SSL協議可分爲兩層：SSL記錄協議（SSL Record Protocol）：它創建在可靠的傳輸協議（如TCP）之上，爲高層協議提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協議（SSL Handshake Protocol）：它創建在SSL記錄協議之上，用於在實際的數據傳輸開始前，通信雙方進行身份認證、協商加密算法、交換加密密鑰等。

如何配置:
一、生成服務器端證書文件

可使用Windows系統或者Linux系統

（1）    Windows環境

條件：已經安裝JDK

步驟：

l  進入%JAVA_HOME%/bin目錄

l  執行命令

keytool -genkey -alias tomcat -keyalg RSA -keystore F:\tomcat.keystore -validity 36500

參數簡要說明：「F:\tomcat.keystore」含義是將證書文件保存在F盤，證書文件名稱是tomcat.keystore ；「-validity 36500」含義是證書有效期，36500表示100年，默認值是90天

l  在命令行填寫必要的參數：

A、輸入keystore密碼：此處須要輸入大於6個字符的字符串

B、「您的名字與姓氏是什麼？」這是必填項，而且必須是TOMCAT部署主機的域名或者IP[如：gbcom.com 或者 10.1.25.251]，就是你未來要在瀏覽器中輸入的訪問地址

C、 「你的組織單位名稱是什麼？」、「您的組織名稱是什麼？」、「您所在城市或區域名稱是什麼？」、「您所在的州或者省份名稱是什麼？」、「該單位的兩字母國 家代碼是什麼？」能夠按照須要填寫也能夠不填寫直接回車，在系統詢問「正確嗎？」時，對照輸入信息，若是符合要求則使用鍵盤輸入字母「y」，不然輸入「n」從新填寫上面的信息

D、輸入<tomcat>的主密碼，這項較爲重要，會在tomcat配置文件中使用，建議輸入與keystore的密碼一致，設置其它密碼也能夠

l  完成上述輸入後，直接回車則在你在第二步中定義的位置找到生成的文件

（2）    Linux環境

條件：安裝了JDK

步驟：

l  進入$JAVA_HOME/bin目錄

l  執行命令

./keytool -genkey -alias tomcat -keyalg RSA -keystore /usr/local/ac/web/tomcat.keystore -validity 36500

參數簡要說明：「/etc/tomcat.keystore」含義是將證書文件保存在路徑/usr/local/ac/web/下，證書文件名稱是tomcat.keystore ；「-validity 36500」含義是證書有效期，36500表示100年，默認值是90天

l  在命令行填寫必要的參數：

截圖以下：

截圖部分說明：

A、Enter keystore password：此處須要輸入大於6個字符的字符串

B、「What is your first and last name?」這是必填項，而且必須是TOMCAT部署主機的域名或者IP[如：gbcom.com 或者 10.1.25.251]，就是你未來要在瀏覽器中輸入的訪問地址

C、「What is the name of your organizational unit?」、「What is the name of your organization?」、「What is the name of your City or Locality?」、「What is the name of your State or Province?」、「What is the two-letter country code for this unit?」能夠按照須要填寫也能夠不填寫直接回車，在系統詢問「correct?」時，對照輸入信息，若是符合要求則使用鍵盤輸入字母「y」，不然輸入「n」從新填寫上面的信息

D、Enter key password for <tomcat>，這項較爲重要，會在tomcat配置文件中使用，建議輸入與keystore的密碼一致，設置其它密碼也能夠

l  完成上述輸入後，直接回車則在你在第二步中定義的位置找到生成的文件

二、配置TOMCAT服務器

（1）    若是你是在Windows環境中生成證書文件，則須要將生成的證書tomcat.keystore拷貝到Tomcat將要引用的位置，假設tomcat的應用證書的路徑是「/etc/tomcat.keystore」，則須要將證書文件拷貝到「etc/」下；若是是在Linux環境按照上述介紹的步驟生成證書文件的話，此時證書文件已經在「etc/」下。

（2）    配置Tomcat，打開$CATALINA_HOME/conf/server.xml，修改以下，

<Connector port="8080" protocol="HTTP/1.1"

               connectionTimeout="20000"

               redirectPort="8443" />

修改參數=>

<Connector port="80" protocol="HTTP/1.1"

               connectionTimeout="20000"

               redirectPort="443" />

 

<!--

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

              maxThreads="150" scheme="https" secure="true"

              clientAuth="false" sslProtocol="TLS"/>

 -->

去掉註釋且修改參數=>

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat.keystore" keystorePass="www.gbcom.com.cn"/>

註釋：標識爲淡藍色的兩個參數，分別是證書文件的位置和<tomcat>的主密碼，在證書文件生成過程當中作了設置

<!--

   <Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" />

-->

修改參數=>

<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" />

(3) 打開$CATALINA_HOME/conf/web.xml，在該文件末尾增長：

2.強制https訪問

在tomcat\conf\web.xml中的</welcome-file-list>後面加上這樣一段：
Java代碼
    1. <login-config>
    2. <!-- Authorization setting for SSL -->
    3. <auth-method>CLIENT-CERT</auth-method>
    4. <realm-name>Client Cert Users-only Area</realm-name>
    5. </login-config>
    6. <security-constraint>
    7. <!-- Authorization setting for SSL -->
    8. <web-resource-collection >
    9. <web-resource-name >SSL</web-resource-name>
    10. <url-pattern>/*</url-pattern>
    11. </web-resource-collection>
    12. <user-data-constraint>
    13. <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    14. </user-data-constraint>
    15. </security-constraint>

三、上述配置完成後，重啓TOMCAT後便可以使用SSL。IE地址欄中能夠直接輸入地址沒必要輸入「http://」 或者 「https://」 ；也能夠輸入 「http:// 」 會跳轉成爲 「https://」 來登陸

四、注意事項：

（1）    生成證書的時間，若是IE客戶端所在機器的時間早於證書生效時間，或者晚於有效時間，IE會提示「該安全證書已到期或還未生效」

（2）    若是IE提示「安全證書上的名稱無效或者與站點名稱不匹配」，則是由生成證書時填寫的服務器所在主機的域名「您的名字與姓氏是什麼？」/「What is your first and last name?」不正確引發的 另參考:http://www.iteye.com/topic/78274配置