历史版本6 :Tomcat配置SSL证书实现HTTPS访问 返回文档
编辑时间: 内容长度:图片数:目录数: 修改原因:

目录:

1. 概述编辑

证书是单点登录认证系统中很重要的一把钥匙,客户端与服务器的交互安全靠的就是证书;本教程由于是演示所以就自己用 JDK 自带的 keytool 工具生成证书;如果以后真正在产品环境中使用肯定要去证书提供商去购买,证书认证一般都是由 VeriSign、GlobalSign 等国际公认的 CA 机构认证。

本文介绍在 Windows 系统中一种利用自带工具生成 SSL 证书及在 Tomcat 服务器中配置的方法。

2. 操作步骤编辑

2.1 创建证书

1)首先需要安装 JRE,然后运行 cmd 或者 Windows Powershell,右键以管理员身份运行,单击确定启动命令提示符窗口。输入cd D:\javasoft\java\jre\bin进入 JRE 的 bin 目录下,执行命令创建如下所示:

注:该 JRE 是配置 Tomcat 时所用的 JRE。

keytool -genkey -alias tomcat-servers -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore

创建证书如下图所示:

34.png

2)若需要迁移到行业标准格式 PKCS12,执行命令:

keytool -importkeystore -srckeystore server.keystore -destkeystore server.keystore -deststoretype pkcs12

输入密钥库口令:changeit,如下图所示:

222

注:您的名字与姓氏,这里不能输入 IP 地址,只能输入域名。

注:您的名字与姓氏,本例输入的是 roxy,其实这个域名是不存在的,但是这里为了演示所以虚拟了这个域名,所以需要在 hosts 文件里映射一个虚拟域名,设置方式如下图所示:

1587107790215869.png

这样在访问 roxy 的时候其实是访问的 127.0.0.1 也就是本机。

2.2 导出证书

执行命令如下所示:

keytool -export -alias tomcat-servers -storepass changeit -file server.cer -keystore server.keystore

将证书导出,如下图所示:

25.png

2.3 将证书导入到 JDK 证书信任

执行命令如下所示:

keytool -import -trustcacerts -alias servers -file server.cer -keystore cacerts -storepass changeit

系统询问是否信任此证书,回答 y ,如下图所示:

2.png

2.4 将证书移动至 Tomcat 安装目录下

1)进入%JRE_HOME%\bin目录下,将新生成 server.keystore,server.cer,cacerts 复制到 Tomcat 安装目录下%TOMCAT_HOME%,如下图所示:

121.png

2)把%JRE_HOME%\bin目录下 cacerts 文件覆盖到 JRE 的 security 目录下%JRE_HOME%\lib\security,如下图所示:

96.png

2.5 应用证书到 Web 服务器

1)配置 server.xml 文件,以管理员身份运行文字编辑器,打开%TOMCAT_HOME%\conf\server.xml。查找 SSL 配置添加证书的地址 keystoreFile以及密码 keystorePass,如下图所示:

注:地址可以填绝对路径或者在 Tomcat 中的相对路径。

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"  
           maxThreads="150" SSLEnabled="true" keystoreFile="E:apache-tomcat-8.5.38server.keystore" keystorePass="changeit"/>

8.png

2)重启 Tomcat 服务,访问https://roxy:8443/,如下图所示:

22.png

如果看到上面的界面,说明 Tomcat 的 SSL 配置成功。

3. 注意事项编辑

1)如果配置完后启动不了 Tomcat 服务,则说明第 2.5 节配置不正确,仔细检查是否按上述步骤配置。

2)若访问链接提示「此网站的安全证书存在问题」,是由于使用 Java 生成的证书使用 https 访问时会提示证书风险,可以申请一个阿里云云盾的免费证书。