HTTPS協議在Tomcat中啟用的配置

本文將講解HTTPS協議在Tomcat中啟用是如何配置的。

概念簡介

Tomcat?服務器是一個免費的開放源代碼的Web 應用服務器，屬于輕量級應用服務器，在中小型系統和并發訪問用戶不是很多的場合下被普遍使用，是開發和調試 JSP 程序的首選。

HTTP?超文本傳輸協議（HTTP，HyperText Transfer Protocol)是互聯網上應用最為廣泛的一種網絡協議。所有的WWW文件都必須遵守這個標準。

HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。

HTTPS和HTTP的區別

一、HTTP 是超文本傳輸協議，信息是明文傳輸，HTTPS 則是具有安全性的 SSL 加密傳輸協議。

二、HTTPS 協議需要到 CA 申請證書，一般免費證書很少，需要交費。

三、HTTP 和 HTTPS 使用的是完全不同的連接方式，用的端口也不一樣，前者是?80，后者是?443。

四、HTTP 的連接很簡單，是無狀態的；HTTPS 協議是由 SSL+HTTP 協議構建的可進行加密傳輸、身份認證的網絡協議，比 HTTP 協議安全。

本地模擬測試開啟過程

HTTPS 如果生產環境應用在域名上是需要直接或間接的從 CA 申請證書，來取得瀏覽器的信任的。我們先在本地模擬測試一下這個過程，自己生成證書，后面介紹域名啟用 HTTPS。

① keytool工具生成證書

打開 JDK 自帶的 keytool 目錄。

按住 Shift 鍵，同時右鍵點擊空白處。

此時，進入cmd窗口。輸入下面命令。

keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\tomcat.keystore" 

• 1

接著會讓你填寫一些基本信息。

下面簡要介紹一下。

密鑰庫口令:123456（這個密碼非常重要）
名字與姓氏:192.168.0.110（以后訪問的域名或IP地址，非常重要，證書和域名或IP綁定） 組織單位名稱:anything（隨便填） 組織名稱:anything（隨便填） 城市:anything（隨便填） 省市自治區:anything（隨便填） 國家地區代碼:anything（隨便填）

• 1
• 2
• 3
• 4
• 5
• 6
• 7

② 應用證書到Tomcat

打開 Tomcat 配置文件?conf\server.xml。

取消注釋，并添加兩個屬性?keystoreFile，keystorePass。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="E:/tomcat.keystore" keystorePass="123456" />

• 1
• 2
• 3

其中，keystoreFile是上一步生成的證書文件地址，keystorePass是上一步的密鑰庫口令。

③ 測試HTTPS

測試鏈接類似于這種?https://192.168.0.110:8443/your_project_name。

觀察Tomcat輸出日志會發現異常。

嚴重: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"]  
java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL with APRat org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:484) at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:566) at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:417) at org.apache.catalina.connector.Connector.initInternal(Connector.java:956) at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102) at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559) 

• 1
• 2
• 3
• 4
• 5
• 6
• 7
• 8

解決方法是注釋conf\server.xml文件中下面一行。

<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->

• 1

重啟Tomcat ，這時可以看到瀏覽器已經可以打開 HTTPS 鏈接了。

真實域名開啟過程

使用自己生成的證書會遇到幾個問題。

一、瀏覽器會對 HTTPS 使用危險標識。

我們開啟 HTTPS 本意是為了更安全，增加用戶信心。但是瀏覽器使用危險標識會適得其反，嚇跑用戶。

二、瀏覽器默認不會加載非HTTPS域名下的javascript

我了個擦，這和早年的禁用javascript差不多了。已經影響網頁的正常運行了。

三、移動設備顯示頁面空白

手機瀏覽器打開頁面，也會像桌面瀏覽器一樣彈出是否加載不受信任的頁面，在微信中打開則會一片空白。

---

以上種種，導致自己生成的證書無法在生產環境使用。

解決以上問題，需要購買CA的證書。不過我在阿里云上看到有免費的證書申請。https://www.aliyun.com/product/cas

① 申請證書

購買過程就不詳細說了。照著阿里云的提示一步一步做就好了。

證書生成后，會得到PFX類型的證書。

② Tomcat 配置PFX證書

打開 Tomcat 配置文件?conf\server.xml。

取消注釋，并添加三個屬性?keystoreFile，keystoreType，keystorePass。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/你的磁盤目錄/訂單號.pfx" keystoreType="PKCS12" keystorePass="訂單號" />

• 1
• 2
• 3
• 4
• 5

其中，keystoreFile是PFX證書文件地址，keystorePass是阿里云的訂單號，keystoreType直接寫PKCS12 。

③ 測試真實域名

重新啟動Tomcat，訪問你自己的域名，則可以正常使用了。瀏覽器會有綠色的域名標識，移動設備也正常了。至于http域名下的javascript，還是需要更換為https才能正常加載。

對于要不要使用 https，需要根據實際情況具體考慮，https會比http慢一些，但是會更安全。

參考文獻

http://lixor.iteye.com/blog/1532655

?

個人之言，請抱著懷疑的態度參考！