Tomcat配置HTTPS的文章到處都有,過程也比較簡單,隨後文中會轉一段過來。
但對於啓用APR情況下報異常“java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL with APR”的解決方法上處理的都比較偷懶,通常都是把APR註釋掉不啓用APR。
做爲一個文藝青年兼軟件開發工程師(偶吐),我有責任深入學習仔細研究完美解決這個問題(偶再吐)。
資料轉載【TOMCAT配置HTTPS】
################################################################
二、創建證書
囉嗦幾句:證書是單點登錄認證系統中很重要的一把鑰匙,客戶端於服務器的交互安全靠的就是證書;本教程由於是演示所以就自己用JDK自帶的keytool工具生成證書;如果以後真正在產品環境中使用肯定要去證書提供商去購買,證書認證一般都是由VeriSign認證,中文官方網站:http://www.verisign.com/cn/
用JDK自帶的keytool工具生成證書:
keytool -genkey -alias wsria -keyalg RSA -keystore d:/keys/wsriakey
無圖不給力,有圖有真相:
具體的輸入項圖片中都有說明,有一點我要解釋一下;在輸入完密碼後提示輸入域名是我輸入的是sso.wsria.com,其實這個域名是不存在的,但是我爲了演示所以虛擬了這個域名,技巧在於修改
C:\Windows\System32\drivers\etc\hosts
添加內容如下:
127.0.0.1 sso.wsria.com
這樣在訪問sso.wsria.com的時候其實是訪問的127.0.0.1也就是本機
嚴重提醒:提示輸入域名的時候不能輸入IP地址
三、導出證書
D:\keys>keytool -export -file d:/keys/wsria.crt -alias wsria -keystore d:/keys/wsriakey
特別提示:如果提示:
keytool error: java.io.IOException: Keystore was tampered with, or password was incorrect
那麼請輸入密碼:changeit
來點顏色:
至此導出證書完成,可以分發給應用的JDK使用了,接下來講解客戶端的JVM怎麼導入證書。
四、爲客戶端的JVM導入證書
keytool -import -keystore D:\tools\jdk\1.6\jdk1.6.0_20\jre\lib\security\cacerts -file D:/keys/wsria.crt -alias wsria
來點顏色瞧瞧:
特別說明
D:\tools\jdk\1.6\jdk1.6.0_20\jre\lib\security -- 是jre的目錄;密碼還是剛剛輸入的密碼。至此證書的創建、導出、導入到客戶端JVM都已完成,下面開始使用證書到Web服務器中,本教程使用tomcat。
五、應用證書到Web服務器-Tomcat
說是應用起始做的事情就是啓用Web服務器(Tomcat)的SSL,也就是HTTPS加密協議,爲什麼加密我就不用囉嗦了吧…… 準備好一個乾淨的tomcat,本教程使用的apache-tomcat-6.0.29 打開tomcat目錄的conf/server.xml文件,開啓83和87行的註釋代碼,並設置keystoreFile、keystorePass修改結果如下:
1 2 | < connector port = "8443" protocol = "HTTP/1.1" sslenabled = "true" maxthreads = "150" scheme = "https" secure = "true" clientauth = "false" sslprotocol = "TLS" keystorefile = "D:/keys/wsriakey" keystorepass = "wsria.com" > </ connector > |
參數說明:
keystoreFile:在第一步創建的key存放位置
keystorePass:創建證書時的密碼
好了,到此Tomcat的SSL啓用完成,現在你可以啓動tomcat試一下了,例如本教程輸入地址:https://sso.wsria.com:8443/ 打開的是:
好的,那麼我們點擊“繼續瀏覽此網站(不推薦)。現在進入Tomcat目錄了吧,如果是那麼你又向成功邁進了一步。
################################################################
來自http://www.kafeitu.me/2010/11/05/sso-cas-full-course.html。
文章寫的很好,也很細緻。
嗯。好了,問題來了。
當我啓動Tomcat時發現控制檯報錯如下:
2012-5-16 13:10:37 org.apache.catalina.core.AprLifecycleListener init
信息: Loaded APR based Apache Tomcat Native library 1.1.23.
2012-5-16 13:10:37 org.apache.catalina.core.AprLifecycleListener init
信息: APR capabilities: IPv6 [true], sendfile [true], accept filters [false], random [true].
2012-5-16 13:10:37 org.apache.coyote.AbstractProtocol init
信息: Initializing ProtocolHandler ["http-apr-8080"]
2012-5-16 13:10:37 org.apache.coyote.AbstractProtocol init
信息: Initializing ProtocolHandler ["http-apr-8443"]
2012-5-16 13:10:37 org.apache.coyote.AbstractProtocol init
嚴重: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"]
java.lang.Exception: <span style="background-color: #ffff00;">Connector attribute SSLCertificateFile must be defined when using SSL with APR</span>
at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:484)
at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:566)
at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:417)
at org.apache.catalina.connector.Connector.initInternal(Connector.java:956)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)
直接Google,很多答案都是不啓用APR,修改conf/server.xml註釋掉下面一段
<!--APR library loader. Documentation at /docs/apr.html -->
<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />
例如:http://tdp100.iteye.com/code?tag=tomcat+https
但這樣做將失去APR庫的價值,Tomcat性能必然下降(APR庫作用見此處http://wenson.iteye.com/blog/382738)
讓我們打開Tomcat的文檔webapps/docs/apr.html,其中講到
<Connector port="443" maxHttpHeaderSize="8192" maxThreads="150" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" SSLCertificateFile="${catalina.base}/conf/localhost.crt" SSLCertificateKeyFile="${catalina.base}/conf/localhost.key" />
SSLCertificateFile屬性好理解,是指證書文件,就是用keytool導出的那個。
而SSLCertificateKeyFile應該是指私鑰,這個東西從哪裏來呢,繼續找資料。
在這裏:http://stackoverflow.com/questions/150167/how-do-i-list-export-private-keys-from-a-keystore
關鍵是這一段:
keytool -importkeystore -srckeystore keystore.jks \ -destkeystore intermediate.p12 -deststoretype PKCS12
Next, use OpenSSL to do the extraction to PEM:
openssl pkcs12 -in intermediate.p12 -out extracted.pem -nodes
先把keystore轉換爲pkcs12格式,然後使用openssl工具導出私鑰即可。
openssl 工具可以從這裏下載:http://gnuwin32.sourceforge.net/packages/openssl.htm
ohYeah! 搞定了。
注意 :不同版本號對應配置不相同
tomcat 6 配置
<Connector protocol=
"org.apache.coyote.http11.Http11NioProtocol"
port=
"8443"
minSpareThreads=
"5"
maxSpareThreads=
"75"
enableLookups=
"true"
disableUploadTimeout=
"true"
acceptCount=
"100"
maxThreads=
"200"
scheme=
"https"
secure=
"true"
SSLEnabled=
"true"
clientAuth=
"false"
sslProtocol=
"TLS"
keystoreFile=
"F:/apache-tomcat/server.keystore"
keystorePass=
"password"
/>