Tomcat9使用免费的Https证书加密网站的方法
1.概述
apache tomcat是一款优秀的java web容器,对于各个站长来说,可以很方便的使用tomcat将自己的网站博客放在公网的服务器上,分享自己的心得以及个人博客。
那么在公网中的访问,没有被第三方公认可信的机构加密时,会默认使用http协议,以明文将自己的网站在公网上传输。这对于大部分领域都没关系,但是对于某些敏感的数据,甚至机密需要保护的数据,例如:银行卡号、银行密码、手机验证码之类的信息,一旦被别有用心的人在中途使用抓包工具拦截,那么将会导致不可设想的后果。
那么网站需要使用ssl(secure sockets layer),顾名思义,安全的套接字层。通过这层提供的保障,在ssl上面运行的应用都可以安全传输。
本文第二部分介绍如果获取免费的证书,第三部分介绍如何用已有的证书在tomcat中配置,使得https能够运作,最后一部分介绍,如何在浏览器中输入地址,自动由http转发到https上,有需要的读者可以根据需要跳过相应部分。
2.获取证书
对于https的证书,相当于是在传输过程中加入了第三方的验证机制,简称ca(certificate authority),确保传输的安全性。对于大部分证书,签发是需要一定的费用的,本段落主要介绍免费的证书提供方:freessl
官方地址:
具备ssl免费证书申请的前提是,先得有一个域名,没有域名的用户可以先移步或者等域名交易网站购买域名,本例中,我使用自己的已有域名:letcafe.cn作为样例
下面介绍如何获取免费域名https证书
步骤1、输入你所购买的域名
步骤2、选项默认,如果没特殊需求按步骤填入邮箱后创建:
步骤3、创建完成后,等待几秒后,将会生成一个域名解析dns的验证环节。对此,需要您去域名供应商网站添加解析,例如,我是用的是阿里云,我在:阿里云->控制台->域名与网站,找到对应的域名添加解析
解析示意图如下:
解析添加完成后,等待将近一分钟,可以回到freessl验证dns,单击“点击验证”按钮后,将会返回你的ca证书以及公钥
然后点击证书下载,即可获得带有full_chain.pem的文件以及叫private.key的私钥,到此,免费的证书已经申请完毕,下一步将tomcat的对应内容加入https
3.配置tomcat
3.1 生成jks文件
由于tomcat证书不支持直接使用pem + 私钥的方式,因此,需要多一步使用openssl将full_chain.pem+private.key转换为jks的步骤,首先将full_chain.pem和private.key上传至服务器的任何目录,我存放的目录是:/root/apache-tomcat-ssl,如下图:
随后使用如下命令,在当前目录下生成一个名为freessl.jks的文件,如果使用不了如下命令,尝试考虑升级openssl到最新版本:
命令过程中会要求输入keystore密码,两次确保一致,并记住该密码,为了演示,我输入的密码为:123456(产品环境下,请确保安全换成其他复杂密码)
3.2 配置server.xml
编辑tomcat目录下的server.xml文件,文件路径位于:$catalina_home/conf/server.xml,取决于你的tomcat安装在何处。
在connector中,添加如下connector:
代码附上:
这一步中的keystorefile填写之前使用openssl生成的jks文件,keystorepass使用之前输入的密码。
<connector protocol="org.apache.coyote.http11.http11nioprotocol" port="443" maxthreads="200" scheme="https" secure="true" sslenabled="true" keystorefile="/root/apache-tomcat-ssl/freessl.jks" keystorepass="123456" clientauth="false" sslprotocol="tls"/>
此外,为了将tomcat监听80端口,并将https请求转发到443端口(443为ssl默认端口),还需要将server.xml文件中原有的connector修改为如下:
将port="8080"改为port="80",redirectport="8443"改为redirectport="443"
修改好,保存退出,重启tomcat,在公网*问输入地址:letcafe.cn,发现虽然:
通过输入https://letcafe.cn。实现了网站上的小锁显示了
但是输入letcafe.cn后,却失去了https的加密:
但是,不能用户每次都去手敲https对不对,此时的tomcat是会对默认继续使用http,所以如果需要将该域名下的所有访问都走https加密的话,需要将所有对tomcat的thhp访问都默认转发给https的访问,实现不管输入letcafe.cn还是https://letcafe.cn都访问的是https(如果没有此需求,可不需要下一步)
4.转发http请求到https
这一步非常简单,编辑$catalina_home/conf/web.xml文件,在其中添加如下代码:
代码如下:
<!-- 增加所有网址自动跳转https --> <security-constraint> <web-resource-collection> <web-resource-name >ssl</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>confidential</transport-guarantee> </user-data-constraint> </security-constraint>
保存后重启tomcat,即可完成目标
5.访问测试
在浏览器中输入:letcafe.cn或者https://letcafe.cn或者http://letcafe.cn都可以实现访问定向到https://letcafe.cn中
6.可能会遇到的问题
如果访问不了确认如下问题是否解决:
1.防火墙是否开放端口,centos中是firewalld,是否添加了443和80端口
解决方案:添加端口并重载防火墙规则命令如下:
firewall-cmd --zone=public --add-port=80/tcp --permanent firewall-cmd --zone=public --add-port=443/tcp --permanent firewall-cmd --reload
查看服务器已对外开放端口命令,确认是否已放通80与443端口:
firewall-cmd --zone=public --list-ports
2.云服务提供商的拦截规则时候设置开放端口,例如:
阿里云->控制台->云服务器ecs->你的服务器->更多->安全组配置
配置规则中,加入80和443端口的开放,具体配置参照阿里云文档,腾讯云等其他服务商也类似,需要在服务器端先开放云服务商的拦截配置。
配置https踩了一些坑,希望能分享帮到他人,如有疑问,欢迎留言!
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
推荐阅读
-
Nginx配置SSL证书部署HTTPS网站的方法(颁发证书)
-
利用nginx和腾讯云免费证书制作https的方法
-
免费ssl证书申请和在IIS上启用https的使用教程
-
【转载】网站配置Https证书系列(一):腾讯云申请免费的SSL证书的流程步骤(即https安全连接使用的证书)
-
php使用curl打开https网站的方法
-
Tomcat9使用免费的Https证书加密网站的方法
-
linux系统下使用nginx反向代理asp.net core,并配置免费的https证书
-
使用openssl 生成免费证书的方法步骤
-
windows apache环境下部署SSL证书让网站支持https的配置方法
-
php使用curl打开https网站的方法_PHP