Tomcat配置https

1. 概念簡介

Tomcat 服務器是一個免費的開放源代碼的Web 應用服務器，屬於輕量級應用服務器，在中小型系統和併發訪問用戶不是不少的場合下被廣泛使用，是開發和調試 JSP 程序的首選。

HTTP 超文本傳輸協議（HTTP，HyperText Transfer Protocol)是互聯網上應用最爲普遍的一種網絡協議。全部的WWW文件都必須遵照這個標準。

HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全爲目標的HTTP通道，簡單講是HTTP的安全版。

HTTPS和HTTP的區別

1、HTTP 是超文本傳輸協議，信息是明文傳輸，HTTPS 則是具備安全性的 SSL 加密傳輸協議。

2、HTTPS 協議須要到 CA 申請證書，通常免費證書不多，須要交費。

3、HTTP 和 HTTPS 使用的是徹底不一樣的鏈接方式，用的端口也不同，前者是 80，後者是 443。

4、HTTP 的鏈接很簡單，是無狀態的；HTTPS 協議是由 SSL+HTTP 協議構建的可進行加密傳輸、身份認證的網絡協議，比 HTTP 協議安全。

2. 本地模擬測試開啓過程

HTTPS 若是生產環境應用在域名上是須要直接或間接的從 CA 申請證書，來取得瀏覽器的信任的。咱們先在本地模擬測試一下這個過程，本身生成證書，後面介紹域名啓用 HTTPS。

2.1. ① keytool工具生成證書

打開 JDK 自帶的 keytool 目錄。

按住 Shift 鍵，同時右鍵點擊空白處。

此時，進入cmd窗口。輸入下面命令。

keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\tomcat.keystore" 

接着會讓你填寫一些基本信息。

下面簡要介紹一下。

密鑰庫口令:123456（這個密碼很是重要） 名字與姓氏:192.168.0.110（之後訪問的域名或IP地址，很是重要，證書和域名或IP綁定） 組織單位名稱:anything（隨便填） 組織名稱:anything（隨便填） 城市:anything（隨便填） 省市自治區:anything（隨便填） 國家地區代碼:anything（隨便填） 

2.2. ② 應用證書到Tomcat

打開 Tomcat 配置文件 conf\server.xml。

取消註釋，並添加兩個屬性 keystoreFile，keystorePass。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="E:/tomcat.keystore" keystorePass="123456" /> 

其中，keystoreFile是上一步生成的證書文件地址，keystorePass是上一步的密鑰庫口令。

2.3. ③ 測試HTTPS

測試連接相似於這種 https://192.168.0.110:8443/your_project_name。

觀察Tomcat輸出日誌會發現異常。

嚴重: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"] java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL with APR at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:484) at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:566) at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:417) at org.apache.catalina.connector.Connector.initInternal(Connector.java:956) at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102) at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559) 

解決方法是註釋conf\server.xml文件中下面一行。

<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />--> 

重啓Tomcat ，這時能夠看到瀏覽器已經能夠打開 HTTPS 連接了。

3. 真實域名開啓過程

使用本身生成的證書會遇到幾個問題。

1、瀏覽器會對 HTTPS 使用危險標識。

咱們開啓 HTTPS 本意是爲了更安全，增長用戶信心。可是瀏覽器使用危險標識會拔苗助長，嚇跑用戶。

2、瀏覽器默認不會加載非HTTPS域名下的javascript

我了個擦，這和早年的禁用javascript差很少了。已經影響網頁的正常運行了。

3、移動設備顯示頁面空白

手機瀏覽器打開頁面，也會像桌面瀏覽器同樣彈出是否加載不受信任的頁面，在微信中打開則會一片空白。

---

以上種種，致使本身生成的證書沒法在生產環境使用。

解決以上問題，須要購買CA的證書。不過我在阿里雲上看到有免費的證書申請。https://www.aliyun.com/product/cas

3.1. ① 申請證書

購買地址：https://common-buy.aliyun.com/?spm=5176.2020520163.cas.1.zTLyhO&commodityCode=cas#/buy

先選品牌爲：Symantec ； 
而後選擇證書類型爲加強型。 
而後免費型的就會出現

購買過程就不詳細說了。照着阿里雲的提示一步一步作就行了。

證書生成後，會獲得PFX類型的證書。

3.2. ② Tomcat 配置PFX證書

打開 Tomcat 配置文件 conf\server.xml。

取消註釋，並添加三個屬性 keystoreFile，keystoreType，keystorePass。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/你的磁盤目錄/訂單號.pfx" keystoreType="PKCS12" keystorePass="訂單號" /> 

其中，keystoreFile是PFX證書文件地址，keystorePass是阿里雲的訂單號，keystoreType直接寫PKCS12 。

3.3. ③ 測試真實域名

從新啓動Tomcat，訪問你本身的域名，則能夠正常使用了。瀏覽器會有綠色的域名標識，移動設備也正常了。至於http域名下的javascript，仍是須要更換爲https才能正常加載。

對於要不要使用 https，須要根據實際狀況具體考慮，https會比http慢一些，可是會更安全。