- ubuntu12.04环境下使用kvm ioctl接口实现最简单的虚拟机
- Ubuntu 通过无线网络安装Ubuntu Server启动系统后连接无线网络的方法
- 在Ubuntu上搭建网桥的方法
- ubuntu 虚拟机上网方式及相关配置详解
CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.
这篇CFSDN的博客文章Tomcat9使用免费的Https证书加密网站的方法由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.
1.概述 。
apache tomcat是一款优秀的java web容器,对于各个站长来说,可以很方便的使用tomcat将自己的网站博客放在公网的服务器上,分享自己的心得以及个人博客.
那么在公网中的访问,没有被第三方公认可信的机构加密时,会默认使用http协议,以明文将自己的网站在公网上传输。这对于大部分领域都没关系,但是对于某些敏感的数据,甚至机密需要保护的数据,例如:银行卡号、银行密码、手机验证码之类的信息,一旦被别有用心的人在中途使用抓包工具拦截,那么将会导致不可设想的后果.
那么网站需要使用ssl(secure sockets layer),顾名思义,安全的套接字层。通过这层提供的保障,在ssl上面运行的应用都可以安全传输.
本文第二部分介绍如果获取免费的证书,第三部分介绍如何用已有的证书在tomcat中配置,使得https能够运作,最后一部分介绍,如何在浏览器中输入地址,自动由http转发到https上,有需要的读者可以根据需要跳过相应部分.
2.获取证书 。
对于https的证书,相当于是在传输过程中加入了第三方的验证机制,简称ca(certificate authority),确保传输的安全性。对于大部分证书,签发是需要一定的费用的,本段落主要介绍免费的证书提供方:freessl 。
官方地址:https://freessl.org/ 。
具备SSL免费证书申请的前提是,先得有一个域名,没有域名的用户可以先移步阿里云或者腾讯云等域名交易网站购买域名,本例中,我使用自己的已有域名:letcafe.cn作为样例 。
下面介绍如何获取免费域名https证书 。
步骤1、输入你所购买的域名 。
步骤2、选项默认,如果没特殊需求按步骤填入邮箱后创建:
步骤3、创建完成后,等待几秒后,将会生成一个域名解析dns的验证环节。对此,需要您去域名供应商网站添加解析,例如,我是用的是阿里云,我在:阿里云->控制台->域名与网站,找到对应的域名添加解析 。
解析示意图如下:
解析添加完成后,等待将近一分钟,可以回到freessl验证dns,单击“点击验证”按钮后,将会返回你的ca证书以及公钥 。
然后点击证书下载,即可获得带有full_chain.pem的文件以及叫private.key的私钥,到此,免费的证书已经申请完毕,下一步将tomcat的对应内容加入https 。
3.配置tomcat 。
3.1 生成jks文件 。
由于tomcat证书不支持直接使用pem + 私钥的方式,因此,需要多一步使用openssl将full_chain.pem+private.key转换为jks的步骤,首先将full_chain.pem和private.key上传至服务器的任何目录,我存放的目录是:/root/apache-tomcat-ssl,如下图:
随后使用如下命令,在当前目录下生成一个名为freessl.jks的文件,如果使用不了如下命令,尝试考虑升级openssl到最新版本:
。
。
命令过程中会要求输入keystore密码,两次确保一致,并记住该密码,为了演示,我输入的密码为:123456(产品环境下,请确保安全换成其他复杂密码) 。
3.2 配置server.xml 。
编辑tomcat目录下的server.xml文件,文件路径位于:$catalina_home/conf/server.xml,取决于你的tomcat安装在何处.
在connector中,添加如下connector:
代码附上:
这一步中的keystorefile填写之前使用openssl生成的jks文件,keystorepass使用之前输入的密码.
1
2
3
4
5
6
|
<
connector
protocol
=
"org.apache.coyote.http11.http11nioprotocol"
port
=
"443"
maxthreads
=
"200"
scheme
=
"https"
secure
=
"true"
sslenabled
=
"true"
keystorefile
=
"/root/apache-tomcat-ssl/freessl.jks"
keystorepass
=
"123456"
clientauth
=
"false"
sslprotocol
=
"tls"
/>
|
此外,为了将tomcat监听80端口,并将https请求转发到443端口(443为ssl默认端口),还需要将server.xml文件中原有的connector修改为如下:
将port="8080"改为port="80",redirectport="8443"改为redirectport="443" 。
修改好,保存退出,重启tomcat,在公网上访问输入地址:letcafe.cn,发现虽然:
通过输入https://letcafe.cn。实现了网站上的小锁显示了 。
但是输入letcafe.cn后,却失去了https的加密:
但是,不能用户每次都去手敲https对不对,此时的tomcat是会对默认继续使用http,所以如果需要将该域名下的所有访问都走https加密的话,需要将所有对tomcat的thhp访问都默认转发给https的访问,实现不管输入letcafe.cn还是https://letcafe.cn都访问的是https(如果没有此需求,可不需要下一步) 。
4.转发http请求到https 。
这一步非常简单,编辑$catalina_home/conf/web.xml文件,在其中添加如下代码:
代码如下:
1
2
3
4
5
6
7
8
9
10
|
<!-- 增加所有网址自动跳转https -->
<
security-constraint
>
<
web-resource-collection
>
<
web-resource-name
>ssl</
web-resource-name
>
<
url-pattern
>/*</
url-pattern
>
</
web-resource-collection
>
<
user-data-constraint
>
<
transport-guarantee
>confidential</
transport-guarantee
>
</
user-data-constraint
>
</
security-constraint
>
|
保存后重启tomcat,即可完成目标 。
5.访问测试 。
在浏览器中输入:letcafe.cn或者https://letcafe.cn或者http://letcafe.cn都可以实现访问定向到https://letcafe.cn中 。
6.可能会遇到的问题 。
如果访问不了确认如下问题是否解决:
1.防火墙是否开放端口,centos中是firewalld,是否添加了443和80端口 。
解决方案:添加端口并重载防火墙规则命令如下:
1
2
3
|
firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --reload
|
查看服务器已对外开放端口命令,确认是否已放通80与443端口:
1
|
firewall-cmd --zone=public --list-ports
|
2.云服务提供商的拦截规则时候设置开放端口,例如:
阿里云->控制台->云服务器ecs->你的服务器->更多->安全组配置 。
配置规则中,加入80和443端口的开放,具体配置参照阿里云文档,腾讯云等其他服务商也类似,需要在服务器端先开放云服务商的拦截配置.
配置https踩了一些坑,希望能分享帮到他人,如有疑问,欢迎留言! 。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我.
原文链接:http://www.cnblogs.com/gdyblog/p/tomcatAddHttps.html 。
最后此篇关于Tomcat9使用免费的Https证书加密网站的方法的文章就讲到这里了,如果你想了解更多关于Tomcat9使用免费的Https证书加密网站的方法的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。
我希望在某些环境中使用用户名和密码保护某个角色,但在其他环境中甚至不需要提示。如果我在 tomcat web.xml 中有一个 auth-constraint,我可以创建一个具有“匿名”访问权限的角色
我正在使用 Tomcat jmxproxy 和状态来监视 Web 应用程序,但是 jmxproxy 页面中有很多无用的信息,并且其中没有任何信息,例如事件连接数。有谁知道如何过滤 jmxproxy 页
是否可以通过执行 JSP 来重启 Tomcat6? 这是因为我想通过使用网络服务器远程部署应用程序的更改。 部署脚本是用 bash 编写的,它从 svn 中 check out 最新版本,然后将其打包
我有一个包含 2 个子项目(后端和 ui)的 gradle 项目。 Ui由gradle tomcatRunWar完美启动.后端有我们在生产地点的配置描述符/conf/Catalina/localhos
发现 XAMPP 控件认为 tomcat 正在运行但无法停止它的问题。 在catalina下的tomcat logs目录下可以找到如下错误 “严重:无法联系 localhost:8005。Tomcat
PuppetLabs 在 PuppetForge 上有一个模块,用于部署 Tomcat 及其配置。 https://forge.puppet.com/puppetlabs/tomcat Tomcat
我有一个部署到 Tomcat 实例中的 Web 应用程序。我希望能够将 tomcat 配置为在 Tomcat 本身启动时不自动启动该应用程序。但是,我确实希望启动 Tomcat 管理器,以便我可以根据
操作系统:windows XP。 我已经安装了 Tomcat 7.0.25,文件夹“manager”位于 webapps 文件夹中。 我已阅读此处的文档:http://tomcat.apache.or
我们在 server.xml 文件中启用了以下访问日志模式 pattern="%h %H %l %u %t "%r" %s %b location: %{location}o"。 有人可以帮助理解模式
我最近开始使用 tomcat,我有一个关于 Tomcat 请求路由/映射的查询。 假设我在 tomcat 服务器中部署了四个应用程序 A、B、C 和 D,当有请求到来时,tomcat 如何知道要调用哪
我在我的计算机上使用 Tomcat,它可以通过端口 8080 访问。我想要的是我应该能够使用我的计算机的 IP 地址访问我的 Tomcat 服务器页面。我以前读过很多主题,但找不到一个可以帮助我的主题
我有一个 tomcat 7 服务器和一个 postgreSQL 9.0 数据库。我用它来为地理网络元数据编辑器设置开发环境。一切都是根据 geonetwork 网站教程设置的。我在将服务器与数据库连接
我的服务器有 物理 ip 和 虚拟 ip 由网络管理员设置。在我安装的服务器内部 Apache tomcat 7.0.29并创建一个网络应用程序。当我运行 wget http://:8080/xxx或
我有多个应用程序在不同的端口上运行(tomcat 实例) 都有相同的CATALINA_HOME 目前我必须在所有实例中部署和安装psi 探针,并在不同的窗口中分别监控每个端口。 我如何在一个单一的探测
based on this question 我尝试将 Tomcat 控制台输出重定向到一个文本文件,它对我的 Web 应用程序工作正常,但问题是,每次 Tomcat 启动时它都会被覆盖。我需要创
我需要阐明我的问题。问题是:有什么方法可以影响 Tomcat 为特定部署的应用程序分配多少堆内存?更多详细信息 - 我如何为已部署的应用程序设置特定的 Java 选项(考虑我想为每个应用程序设置特殊的
应用服务器内部的类加载机制是开发人员常见的困惑来源;这就是为什么我想问一个关于 tomcat 7 服务器中这个机制的问题:我有一个网络应用程序 sample.war,它依赖于 jgroups 库, 放
尝试将嵌入式 Tomcat 5 迁移到嵌入式 Tomcat 7。在启动过程中获取 NPE。 我扩展了 Embedded 类并按照正确的顺序执行所有建议的初始化。 NPE 发生在这里: Caused b
我可以使用随附的 start.sh 文件启动 tomcat,但是是否有任何参数可以用来执行以下操作: 在指定的根目录启动 Tomcat 服务 强制 Tomcat 在浏览器中拉出指定的主页 谢谢 最佳答
我在两台 diff 机器 tomcat 服务器上做一个简单的集群配置。每次我启动 tomcat 时,我都会收到一个错误,就像集群组中没有事件成员一样。我正在附加集群配置
我是一名优秀的程序员,十分优秀!