开发者社区> gdy> 正文

Tomcat9使用免费的Https证书加密网站

简介: 1.概述 Apache Tomcat是一款优秀的Java Web容器,对于各个站长来说,可以很方便的使用Tomcat将自己的网站博客放在公网的服务器上,分享自己的心得以及个人博客。 那么在公网中的访问,没有被第三方公认可信的机构加密时,会默认使用Http协议,以明文将自己的网站在公网上传输。
+关注继续查看

1.概述

Apache Tomcat是一款优秀的Java Web容器,对于各个站长来说,可以很方便的使用Tomcat将自己的网站博客放在公网的服务器上,分享自己的心得以及个人博客。

那么在公网中的访问,没有被第三方公认可信的机构加密时,会默认使用Http协议,以明文将自己的网站在公网上传输。这对于大部分领域都没关系,但是对于某些敏感的数据,甚至机密需要保护的数据,例如:银行卡号、银行密码、手机验证码之类的信息,一旦被别有用心的人在中途使用抓包工具拦截,那么将会导致不可设想的后果。

那么网站需要使用SSL(Secure Sockets Layer),顾名思义,安全的套接字层。通过这层提供的保障,在SSL上面运行的应用都可以安全传输。

本文第二部分介绍如何获取免费的证书,第三部分介绍如何用已有的证书在Tomcat中配置,使得Https能够运作,最后一部分介绍,如何在浏览器中输入地址,自动由Http转发到Https上,有需要的读者可以根据需要跳过相应部分。

2.获取证书

对于Https的证书,相当于是在传输过程中加入了第三方的验证机制,简称CA(Certificate Authority),确保传输的安全性。对于大部分证书,签发是需要一定的费用的,本段落主要介绍免费的证书提供方:FreeSSL

官方地址:https://freessl.org/

具备SSL免费证书申请的前提是,先得有一个域名,没有域名的用户可以先移步阿里云或者腾讯云等域名交易网站购买域名,本例中,我使用自己的已有域名:letcafe.cn作为样例

下面介绍如何获取免费域名Https证书

步骤1、输入你所购买的域名

步骤2、选项默认,如果没特殊需求按步骤填入邮箱后创建:

步骤3、创建完成后,等待几秒后,将会生成一个域名解析DNS的验证环节。对此,需要您去域名供应商网站添加解析,例如,我是用的是阿里云,我在:阿里云->控制台->域名与网站,找到对应的域名添加解析

解析示意图如下:

解析添加完成后,等待将近一分钟,可以回到FreeSSL验证DNS,单击“点击验证”按钮后,将会返回你的CA证书以及公钥

然后点击证书下载,即可获得带有full_chain.pem的文件以及叫private.key的私钥,到此,免费的证书已经申请完毕,下一步将Tomcat的对应内容加入HTTPS

3.配置Tomcat

3.1 生成jks文件

由于Tomcat证书不支持直接使用pem + 私钥的方式,因此,需要多一步使用Openssl将full_chain.pem+private.key转换为jks的步骤,首先将full_chain.pem和private.key上传至服务器的任何目录,我存放的目录是:/root/apache-tomcat-ssl,如下图:

随后使用如下命令,在当前目录下生成一个名为freeSSL.jks的文件,如果使用不了如下命令,尝试考虑升级Openssl到最新版本:

openssl pkcs12 -export -out /root/apache-tomcat-ssl/freeSSL.jks -in ./full_chain.pem -inkey ./private.key

命令过程中会要求输入keystore密码,两次确保一致,并记住该密码,为了演示,我输入的密码为:123456(产品环境下,请确保安全换成其他复杂密码

3.2 配置server.xml

编辑Tomcat目录下的server.xml文件,文件路径位于:$CATALINA_HOME/conf/server.xml,取决于你的Tomcat安装在何处。

在Connector中,添加如下Connector:

代码附上:

这一步中的keystoreFile填写之前使用Openssl生成的jks文件,keystorePass使用之前输入的密码。

<Connector
protocol
="org.apache.coyote.http11.Http11NioProtocol" port="443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="/root/apache-tomcat-ssl/freeSSL.jks" keystorePass="123456" clientAuth="false" sslProtocol="TLS"/>

此外,为了将Tomcat监听80端口,并将HTTPS请求转发到443端口(443为SSL默认端口),还需要将server.xml文件中原有的Connector修改为如下:

将port="8080"改为port="80",redirectPort="8443"改为redirectPort="443"

修改好,保存退出,重启Tomcat,在公网上访问输入地址:letcafe.cn,发现虽然:

通过输入https://letcafe.cn。实现了网站上的小锁显示了

但是输入letcafe.cn后,却失去了Https的加密:

但是,不能用户每次都去手敲HTTPS对不对,此时的Tomcat是会对默认继续使用HTTP,所以如果需要将该域名下的所有访问都走HTTPS加密的话,需要将所有对Tomcat的THHP访问都默认转发给HTTPS的访问,实现不管输入letcafe.cn还是https://letcafe.cn都访问的是HTTPS(如果没有此需求,可不需要下一步)

4.转发Http请求到Https

这一步非常简单,编辑$CATALINA_HOME/conf/web.xml文件,在其中添加如下代码:

代码如下:

  <!-- 增加所有网址自动跳转https -->
  <security-constraint>
    <web-resource-collection>
       <web-resource-name >SSL</web-resource-name>
         <url-pattern>/*</url-pattern>
       </web-resource-collection>
     <user-data-constraint>
       <transport-guarantee>CONFIDENTIAL</transport-guarantee>
     </user-data-constraint>
  </security-constraint>

保存后重启Tomcat,即可完成目标

5.访问测试

在浏览器中输入:letcafe.cn或者https://letcafe.cn或者http://letcafe.cn都可以实现访问定向到https://letcafe.cn中

6.可能会遇到的问题

如果访问不了确认如下问题是否解决:

1.防火墙是否开放端口,CentOS中是firewalld,是否添加了443和80端口

解决方案:添加端口并重载防火墙规则命令如下:

1 firewall-cmd --zone=public --add-port=80/tcp --permanent
2 firewall-cmd --zone=public --add-port=443/tcp --permanent
3 firewall-cmd --reload

查看服务器已对外开放端口命令,确认是否已放通80与443端口:

firewall-cmd --zone=public --list-ports

2.云服务提供商的拦截规则时候设置开放端口,例如:

阿里云->控制台->云服务器ECS->你的服务器->更多->安全组配置

配置规则中,加入80和443端口的开放,具体配置参照阿里云文档,腾讯云等其他服务商也类似,需要在服务器端先开放云服务商的拦截配置。

配置HTTPS踩了一些坑,希望能分享帮到他人,如有疑问,欢迎留言!

 

作者:letcafe

-------------------------------------------

个性签名:编程水太深,先会造轮子!

如果觉得这篇文章对你有小小的帮助的话,记得在右下角点个“推荐”哦,博主在此感谢!

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
18996 0
SSL证书对网站好处
如果网站连基本的安全防护都没有,此时的安全性就无法保障,所以为了给网站安全保驾护航,直接给网站配置[ssl证书](https://www.aliyun.com/product/cas?userCode=ffak35up)是很好的。另外,ssl证书的好处有很多,所以给网站配置ssl证书是有必要的。那么,ssl证书的好处是什么呢?
50 0
如何判断你是个牛×黑客:使用C#加密攻击载荷来绕过杀毒软件
本文讲的是如何判断你是个牛×黑客:使用C#加密攻击载荷来绕过杀毒软件,衡量一个成功黑客和一款牛×的恶意攻击软件的重要指标之一,就是看其能否绕过所有的杀毒软件。 不过万事万物都是个矛盾体,因为一旦一种很牛×的绕过技术被公之于众,那杀毒软件的公司就会对这种技术进行分析并找到应对之策。
1968 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
25240 0
使用Nginx反向代理 让IIS和Tomcat等多个站点一起飞
使用Nginx 让IIS和Tomcat等多个站点一起飞   前言:   养成一个好习惯,解决一个什么问题之后就记下来,毕竟“好记性不如烂笔头”。   这样也能帮助更多的人 不是吗?      最近闲着没事儿瞎搞,自己在写一个ASP.NET MVC的系统,所以理所当然的 在服务器上搭建了一个IIS。
2694 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
20694 0
Silverlight信息加密 - 通过Rfc2898DeriveBytes类使用基于HMACSHA1的伪随机数生成器实现PBKDF2
原文: http://blog.csdn.net/xuyue1987/article/details/6706600 在上一篇文章当中,介绍到了通过Silverlight获取web.config中的值,最后提到了加密的问题,因此首先对该安全问题做一个简单的描述。
960 0
+关注
gdy
like summer
16
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载