本文將講解HTTPS協(xié)議在Tomcat中啟用是如何配置的。

概念簡介

Tomcat?服務(wù)器是一個(gè)免費(fèi)的開放源代碼的Web 應(yīng)用服務(wù)器，屬于輕量級應(yīng)用服務(wù)器，在中小型系統(tǒng)和并發(fā)訪問用戶不是很多的場合下被普遍使用，是開發(fā)和調(diào)試 JSP 程序的首選。

HTTP?超文本傳輸協(xié)議（HTTP，HyperText Transfer Protocol)是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。所有的WWW文件都必須遵守這個(gè)標(biāo)準(zhǔn)。

HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版。

HTTPS和HTTP的區(qū)別

一、HTTP 是超文本傳輸協(xié)議，信息是明文傳輸，HTTPS 則是具有安全性的 SSL 加密傳輸協(xié)議。

二、HTTPS 協(xié)議需要到 CA 申請證書，一般免費(fèi)證書很少，需要交費(fèi)。

三、HTTP 和 HTTPS 使用的是完全不同的連接方式，用的端口也不一樣，前者是?80，后者是?443。

四、HTTP 的連接很簡單，是無狀態(tài)的；HTTPS 協(xié)議是由 SSL+HTTP 協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比 HTTP 協(xié)議安全。

本地模擬測試開啟過程

HTTPS 如果生產(chǎn)環(huán)境應(yīng)用在域名上是需要直接或間接的從 CA 申請證書，來取得瀏覽器的信任的。我們先在本地模擬測試一下這個(gè)過程，自己生成證書，后面介紹域名啟用 HTTPS。

① keytool工具生成證書

打開 JDK 自帶的 keytool 目錄。

按住 Shift 鍵，同時(shí)右鍵點(diǎn)擊空白處。

此時(shí)，進(jìn)入cmd窗口。輸入下面命令。

keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\tomcat.keystore"

• 1

接著會讓你填寫一些基本信息。

下面簡要介紹一下。

密鑰庫口令:123456（這個(gè)密碼非常重要） 名字與姓氏:192.168.0.110（以后訪問的域名或IP地址，非常重要，證書和域名或IP綁定） 組織單位名稱:anything（隨便填） 組織名稱:anything（隨便填） 城市:anything（隨便填） 省市自治區(qū):anything（隨便填） 國家地區(qū)代碼:anything（隨便填）

• 1
• 2
• 3
• 4
• 5
• 6
• 7

② 應(yīng)用證書到Tomcat

打開 Tomcat 配置文件?conf\server.xml。

取消注釋，并添加兩個(gè)屬性?keystoreFile，keystorePass。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="E:/tomcat.keystore" keystorePass="123456" />

• 1
• 2
• 3

其中，keystoreFile是上一步生成的證書文件地址，keystorePass是上一步的密鑰庫口令。

③ 測試HTTPS

測試鏈接類似于這種?https://192.168.0.110:8443/your_project_name。

觀察Tomcat輸出日志會發(fā)現(xiàn)異常。

嚴(yán)重: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"] java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL with APRat org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:484) at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:566) at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:417) at org.apache.catalina.connector.Connector.initInternal(Connector.java:956) at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102) at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8

解決方法是注釋conf\server.xml文件中下面一行。

<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->

• 1

重啟Tomcat ，這時(shí)可以看到瀏覽器已經(jīng)可以打開 HTTPS 鏈接了。

真實(shí)域名開啟過程

使用自己生成的證書會遇到幾個(gè)問題。

一、瀏覽器會對 HTTPS 使用危險(xiǎn)標(biāo)識。

我們開啟 HTTPS 本意是為了更安全，增加用戶信心。但是瀏覽器使用危險(xiǎn)標(biāo)識會適得其反，嚇跑用戶。

二、瀏覽器默認(rèn)不會加載非HTTPS域名下的javascript

我了個(gè)擦，這和早年的禁用javascript差不多了。已經(jīng)影響網(wǎng)頁的正常運(yùn)行了。

三、移動(dòng)設(shè)備顯示頁面空白

手機(jī)瀏覽器打開頁面，也會像桌面瀏覽器一樣彈出是否加載不受信任的頁面，在微信中打開則會一片空白。

---

以上種種，導(dǎo)致自己生成的證書無法在生產(chǎn)環(huán)境使用。

解決以上問題，需要購買CA的證書。不過我在阿里云上看到有免費(fèi)的證書申請。https://www.aliyun.com/product/cas

① 申請證書

購買過程就不詳細(xì)說了。照著阿里云的提示一步一步做就好了。

證書生成后，會得到PFX類型的證書。

② Tomcat 配置PFX證書

打開 Tomcat 配置文件?conf\server.xml。

取消注釋，并添加三個(gè)屬性?keystoreFile，keystoreType，keystorePass。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/你的磁盤目錄/訂單號.pfx" keystoreType="PKCS12" keystorePass="訂單號" />

• 1
• 2
• 3
• 4
• 5

其中，keystoreFile是PFX證書文件地址，keystorePass是阿里云的訂單號，keystoreType直接寫PKCS12 。

③ 測試真實(shí)域名

重新啟動(dòng)Tomcat，訪問你自己的域名，則可以正常使用了。瀏覽器會有綠色的域名標(biāo)識，移動(dòng)設(shè)備也正常了。至于http域名下的javascript，還是需要更換為https才能正常加載。

對于要不要使用 https，需要根據(jù)實(shí)際情況具體考慮，https會比http慢一些，但是會更安全。

參考文獻(xiàn)

http://lixor.iteye.com/blog/1532655

?

個(gè)人之言，請抱著懷疑的態(tài)度參考！

轉(zhuǎn)載于:https://www.cnblogs.com/bozaiggg/p/7896153.html

總結(jié)

以上是生活随笔為你收集整理的HTTPS协议在Tomcat中启用的配置的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。