首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 教程频道 > 软件管理 > 软件架构设计 >

在tomcat7中起用HTTPS的详细配置

2013-11-23 
在tomcat7中启用HTTPS的详细配置? ? ? ? ? ? ? ?maxThreads150 schemehttps securetrue? ? ? ? ?

在tomcat7中启用HTTPS的详细配置
? ? ? ? ? ? ? ?maxThreads="150" scheme="https" secure="true"? ? ? ? ? ? ? ?clientAuth="false" sslProtocol="TLS" />? ? -->?它被注释掉了,将注释去掉,并将这一段改成以下?? ? <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"? ? ? ? ? ? ? ?maxThreads="150" scheme="https" secure="true"? ? ? ?keystoreFile="bin/.keystore" keystorePass=" s3cret"? ? ? ? ? ? ? ?clientAuth="false" sslProtocol="TLS" />?之后启动tomcat就可以了,通过https方式访问8443端口,就能看到效果。如果用http访问之前的端口,那么还是普通的未加密连接。?到这里问题来了,我的目的是启用https,但现在http还能访问,那么就可以绕开https。https也就起不了什么作用了。因此要强制访问https。?打开你的web应用的web.xml文件,在最后加上这样一段?<security-constraint><web-resource-collection><web-resource-name>Protected Context</web-resource-name><url-pattern>/*</url-pattern></web-resource-collection><user-data-constraint><transport-guarantee>CONFIDENTIAL</transport-guarantee></user-data-constraint></security-constraint>?重启tomcat,现在你放问原来的地址,假设是http://localhost:8080/mywebapp/,可以看到,连接被重定向到了https的连接https://localhost:8443/mywebapp/。这样,我们的目的达到了。?但似乎还有点小问题,keystorePass="s3cret",这个密码直接被明码方式卸载server.xml里。总觉得有还是有点不爽。?那么还有一种稍微复杂点的方式,我们使用openssl。?首先,需要下载openssl,为了方便,可以下载一个绿色版,http://www.itrus.com.cn/verisignchina/Service/soft/autocsr.rar?加压后除了openssl.exe以外,还有一个bat文件,这个可以帮助我们快速创建证书申请文件。?运行autocsr.bat,按照提示输入信息,之后按任意键确认。你会得到两个文件,一个server.key,这是私钥文件,还有一个名为certreq.csr的证书请求文件。?如果你要向证书颁发机构申请正式的安全证书,那么就把这个certreq.csr文件发给他们就行了。他们会给你发来两个cer文件,一个是服务器证书,一个是根证书?如果你只是要使用https,那么证书自己签署就可以了。?在命令行下进入刚才解压的目录,找到openssl.exe所在的目录,执行以下命令openssl x509 -req -in certreq.csr -out cert.cer -signkey server.key -days 3650?现在你将得到一个名为cert.cer的证书文件。?修改server.xml将? ? <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"? ? ? ? ? ? ? ?maxThreads="150" scheme="https" secure="true"? ? ? ?keystoreFile="bin/.keystore" keystorePass="?s3cret"? ? ? ? ? ? ? ?clientAuth="false" sslProtocol="TLS" />修改为以下内容(假设cert.cer和server.key文件都放在tomcat的conf目录下)<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol" SSLEnabled="true"? ? ? ? ? ? ? ?maxThreads="150" scheme="https" secure="true"? ? ? ?SSLCertificateFile="conf/cert.cer"? ? ? ?SSLCertificateKeyFile="conf/server.key"? ? ? ? ? ? ? ?sslProtocol="TLS" />?PS.如果真的向证书颁发机构申请到了正式的安全证书,那么配置还有点不同,如下<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol" SSLEnabled="true"? ? ? ? ? ? ? ?maxThreads="150" scheme="https" secure="true"? SSLCertificateFile="conf/server.cer"? SSLCertificateKeyFile="conf/server.key"? SSLCertificateChainFile="conf/intermediate.cer"? ? ? ? ? ? ? ?sslProtocol="TLS" />?因为证书颁发机构会给两个整数,一个是签署后的服务器证书,还有一个中级CA证书,所以要多一行配置。?好了,到这里都配置完了,重启tomcat,就可以看到效果。不过,看到的通常会是一个exception,大概是说APR not available?如果遇到这个异常,说明你的tomcat没有安装apr支持,请到以下地址去下载http://apache.etoak.com//tomcat/tomcat-connectors/native/1.1.22/binaries/win32/?需要下载tcnative-1.dll和openssl.exe?将它们放到tomcat的bin目录下,然后修改catalina.bat文件,在其中加入SET PATH=%PATH%;.(最后的点不能漏掉)?之后启动tomcat,问题应该解决了,看起来效果和第一种方式没什么不同。

热点排行