背景
项目有两个模块要放公网上,并且需要采用https安全加密的方式。
域名由局方提供,我们负责应用层面的改造。
证书放在负载均衡交换机上
证书由交换机生成。
应用部分的改造
仅仅在Host节点下 增加虚拟路径
<Context path="" docBase="../webapps/entel-self/WEB-INF/classes/static/entel-self" debug="0" reloadable="true" crossContext="true" />
访问单个节点,输入 http://ip:port 就可以访问到首页了。
证书放在tomcat上
我们的组网图,在应用的server前面有 DP的负载均衡交换机,在这里仅仅让交换机做转发,不负责https部分,仅仅是分发到tomcat的https
1 使用keytool制作临时证书
$JAVA_HOME/bin/keytool -genkey -v -alias tomcat -keyalg RSA -keystore /drm/drm/webserver/tomcat.keystore -validity 36500 -keysize 2048
- 默认的证书有效期时90天 -validity修改有效期
- 为了方便迁移环境,我们把证书和应用放在一起 通过-keystore参数
这个证书仅仅是不受信任的证书,如果商用,请购买证书,提供域名和企业许可证。
2 tomcat的server.xml开放SSL访问
这里仅仅是做了个单向认证。
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="8443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="/drm/drm/webserver/tomcat.keystore" keystorePass="whateveruwant" clientAuth="false" sslProtocol="TLS"/>
同时Host节点下 增加虚拟路径
<Context path="" docBase="../webapps/drmselfservice" debug="0" reloadable="true" crossContext="true" />
重启tomcat , 如果输入 https://IP:8443 能访问到对应的页面,说明配置成功.
注意: 如果访问不到,请确认防火墙是否开放了8443端口的访问权限
集成同事在交换机上修改了配置,开放了HTTPS的访问方式,然后直接访问域名就可以访问首页了
