在tomcat中加入SSL騰訊雲證書的步驟

在tomcat中加入SSL證書，能夠用https方式訪問域名，增長域名的安全性。固然也有不少應用要求https訪問，也是安全性的考慮。阿里雲和騰訊雲都提供SSL證書，還有一些其餘的大公司也提供，我這裏以騰訊雲的SSL證書爲例，說一下整個申請及設置的流程。

第一步，申請免費的SSL證書。

https://buy.cloud.tencent.com/ssl?fromSource=ssl，

 

須要登陸才能申請，沒有登陸的狀況下點擊免費快速申請，會跳轉到登陸頁面，登陸後，會出要求填寫一些信息，通用名稱是須要綁定的域名，申請郵箱就是本身的郵箱，證書備註名能夠填寫，爲了方便查看，沒有特別的用途。私鑰密碼須要牢記，後面還會用到，好比咱們寫abcdef，

點擊下一步，會出現選擇驗證方式，能夠手動DNS驗證，也能夠文件驗證。

 

你們能夠查看詳細說明，DNS驗證應該簡單些，能夠直接在騰訊雲上操做，分爲手動DNS驗證和自動DNS驗證。我採用的是文件驗證，也就是把文件下載下來，放到tomcat中進行驗證的方式。選擇文件驗證，而後確認申請。出現如下的頁面，平臺會提供一個fileauth.txt文件，文件內容以下所示。

 

按照提供的操做指引，一步步操做。

這一步主要是把fileauth.txt放到咱們申請的域名的服務器規定目錄下，而後平臺會掃描這個文件，若是能掃描到，就會提供一個SSL證書。這個時間應該比較快，有幾分鐘就差很少能經過審覈，提供SSL證書下載。

第二步，將SSL證書加入到tomcat中。

經過審覈後，就會出現SSL證書已頒發，提供了證書的下載。

證書下載後，是一個壓縮文件，解壓後的目錄結構。

 

在根目錄有一個xxx.com.csr的文件，在tomcat目錄下有一個xxx.com.jks的文件，咱們就使用jks這個SSL證書。

在tomcat中安裝SSL證書，大致按照指引文檔就能夠，略有區別。地址https://cloud.tencent.com/document/product/400/4143。

配置SSL鏈接器，將xxx.com.jks文件存放到conf目錄下，而後配置同目錄下的server.xml文件：

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"

    maxThreads="150" scheme="https" secure="true"

    keystoreFile="conf/www.domain.com.jks"

    keystorePass="changeit"

    clientAuth="false" sslProtocol="TLS" />

此處，須要修改的地方主要有三處。Protocol，keystoreFile，keystorePass。

protocol="org.apache.coyote.http11.Http11Protocol"

keystoreFile="conf/xxx.com.jks"，就是放到conf目錄下的SSL證書文件。

keystorePass="abcdef" ，就是前面設置的密鑰密碼。

到conf目錄下的web.xml。在</welcome-file-list>後面，</web-app>，也就是倒數第二段裏，加上這樣一段

<login-config>

    <!-- Authorization setting for SSL -->

    <auth-method>CLIENT-CERT</auth-method>

    <realm-name>Client Cert Users-only Area</realm-name>

    </login-config>

    <security-constraint>

    <!-- Authorization setting for SSL -->

    <web-resource-collection>

    <web-resource-name>SSL</web-resource-name>

    <url-pattern>/*</url-pattern>

    </web-resource-collection>

    <user-data-constraint>

    <transport-guarantee>CONFIDENTIAL</transport-guarantee>

    </user-data-constraint>

    </security-constraint>

這步目的是讓非ssl的connector跳轉到ssl的connector去。因此還須要前往server.xml進行配置：

<Connector port="8080" protocol="HTTP/1.1"

    connectionTimeout="20000"

    redirectPort="443" />

redirectPort改爲ssl的connector的端口443，重啓後便會生效。