Tomcat啓用HTTPS協議配置過程

轉載請註明出處：

http://blog.csdn.net/gane_cheng/article/details/53001846

http://www.ganecheng.tech/blog/53001846.html （瀏覽效果更好）

本文將講解HTTPS協議在Tomcat中啓用是如何配置的。

概念簡介

Tomcat 服務器是一個免費的開放源代碼的Web 應用服務器，屬於輕量級應用服務器，在中小型系統和併發訪問用戶不是很多的場合下被普遍使用，是開發和調試 JSP 程序的首選。

HTTP 超文本傳輸協議（HTTP，HyperText Transfer Protocol)是互聯網上應用最爲廣泛的一種網絡協議。所有的WWW文件都必須遵守這個標準。

HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全爲目標的HTTP通道，簡單講是HTTP的安全版。

HTTPS和HTTP的區別

一、HTTP 是超文本傳輸協議，信息是明文傳輸，HTTPS 則是具有安全性的 SSL 加密傳輸協議。

二、HTTPS 協議需要到 CA 申請證書，一般免費證書很少，需要交費。

三、HTTP 和 HTTPS 使用的是完全不同的連接方式，用的端口也不一樣，前者是 80，後者是 443。

四、HTTP 的連接很簡單，是無狀態的；HTTPS 協議是由 SSL+HTTP 協議構建的可進行加密傳輸、身份認證的網絡協議，比 HTTP 協議安全。

本地模擬測試開啓過程

HTTPS 如果生產環境應用在域名上是需要直接或間接的從 CA 申請證書，來取得瀏覽器的信任的。我們先在本地模擬測試一下這個過程，自己生成證書，後面介紹域名啓用 HTTPS。

① keytool工具生成證書

打開 JDK 自帶的 keytool 目錄。

按住 Shift 鍵，同時右鍵點擊空白處。

此時，進入cmd窗口。輸入下面命令。

keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\tomcat.keystore" 

接着會讓你填寫一些基本信息。

下面簡要介紹一下。

密鑰庫口令:123456（這個密碼非常重要）
名字與姓氏:192.168.0.110（以後訪問的域名或IP地址，非常重要，證書和域名或IP綁定）
組織單位名稱:anything（隨便填）
組織名稱:anything（隨便填）
城市:anything（隨便填）
省市自治區:anything（隨便填）
國家地區代碼:anything（隨便填）

② 應用證書到Tomcat

打開 Tomcat 配置文件 conf\server.xml。

取消註釋，並添加兩個屬性 keystoreFile，keystorePass。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="E:/tomcat.keystore" keystorePass="123456" />

其中，keystoreFile是上一步生成的證書文件地址，keystorePass是上一步的密鑰庫口令。

③ 測試HTTPS

測試鏈接類似於這種 https://192.168.0.110:8443/your_project_name。

觀察Tomcat輸出日誌會發現異常。

嚴重: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"]  
java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL with APR
        at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:484)  
        at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:566)  
        at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:417)  
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:956)  
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)  
        at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)  

解決方法是註釋conf\server.xml文件中下面一行。

<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->

重啓Tomcat ，這時可以看到瀏覽器已經可以打開 HTTPS 鏈接了。

真實域名開啓過程

使用自己生成的證書會遇到幾個問題。

一、瀏覽器會對 HTTPS 使用危險標識。

我們開啓 HTTPS 本意是爲了更安全，增加用戶信心。但是瀏覽器使用危險標識會適得其反，嚇跑用戶。

二、瀏覽器默認不會加載非HTTPS域名下的javascript

我了個擦，這和早年的禁用javascript差不多了。已經影響網頁的正常運行了。

三、移動設備顯示頁面空白

手機瀏覽器打開頁面，也會像桌面瀏覽器一樣彈出是否加載不受信任的頁面，在微信中打開則會一片空白。

---

以上種種，導致自己生成的證書無法在生產環境使用。

解決以上問題，需要購買CA的證書。不過我在阿里雲上看到有免費的證書申請。https://www.aliyun.com/product/cas

① 申請證書

購買過程就不詳細說了。照着阿里雲的提示一步一步做就好了。

證書生成後，會得到PFX類型的證書。

② Tomcat 配置PFX證書

打開 Tomcat 配置文件 conf\server.xml。

取消註釋，並添加三個屬性 keystoreFile，keystoreType，keystorePass。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="/你的磁盤目錄/訂單號.pfx"
    keystoreType="PKCS12"
    keystorePass="訂單號" />

其中，keystoreFile是PFX證書文件地址，keystorePass是阿里雲的訂單號，keystoreType直接寫PKCS12 。

③ 測試真實域名

重新啓動Tomcat，訪問你自己的域名，則可以正常使用了。瀏覽器會有綠色的域名標識，移動設備也正常了。至於http域名下的javascript，還是需要更換爲https才能正常加載。

對於要不要使用 https，需要根據實際情況具體考慮，https會比http慢一些，但是會更安全。

參考文獻

http://lixor.iteye.com/blog/1532655