【转】Tomcat启用HTTPS协议配置过程

转载请注明出处：

http://blog.csdn.net/gane_cheng/article/details/53001846

http://www.ganecheng.tech/blog/53001846.html （浏览效果更好）

本文将讲解HTTPS协议在Tomcat中启用是如何配置的。

1. 概念简介

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试 JSP 程序的首选。

HTTP 超文本传输协议（HTTP，HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。

HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。

HTTPS和HTTP的区别

一、HTTP 是超文本传输协议，信息是明文传输，HTTPS 则是具有安全性的 SSL 加密传输协议。

二、HTTPS 协议需要到 CA 申请证书，一般免费证书很少，需要交费。

三、HTTP 和 HTTPS 使用的是完全不同的连接方式，用的端口也不一样，前者是 80，后者是 443。

四、HTTP 的连接很简单，是无状态的；HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比 HTTP 协议安全。

2. 本地模拟测试开启过程

HTTPS 如果生产环境应用在域名上是需要直接或间接的从 CA 申请证书，来取得浏览器的信任的。我们先在本地模拟测试一下这个过程，自己生成证书，后面介绍域名启用 HTTPS。

2.1. ① keytool工具生成证书

打开 JDK 自带的 keytool 目录。

按住 Shift 键，同时右键点击空白处。

此时，进入cmd窗口。输入下面命令。

keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "D:\tomcat.keystore"

接着会让你填写一些基本信息。

下面简要介绍一下。

密钥库口令:123456（这个密码非常重要）
名字与姓氏:192.168.0.110（以后访问的域名或IP地址，非常重要，证书和域名或IP绑定）
组织单位名称:anything（随便填）
组织名称:anything（随便填）
城市:anything（随便填）
省市自治区:anything（随便填）
国家地区代码:anything（随便填）

2.2. ② 应用证书到Tomcat

打开 Tomcat 配置文件 conf\server.xml。

取消注释，并添加两个属性 keystoreFile，keystorePass。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="E:/tomcat.keystore" keystorePass="123456" />

其中，keystoreFile是上一步生成的证书文件地址，keystorePass是上一步的密钥库口令。

2.3. ③ 测试HTTPS

测试链接类似于这种 https://192.168.0.110:8443/your_project_name。

观察Tomcat输出日志会发现异常。

严重: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"]
java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL with APR
        at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:484)
        at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:566)
        at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:417)
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:956)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)

解决方法是注释conf\server.xml文件中下面一行。

<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->

重启Tomcat ，这时可以看到浏览器已经可以打开 HTTPS 链接了。

3. 真实域名开启过程

使用自己生成的证书会遇到几个问题。

一、浏览器会对 HTTPS 使用危险标识。

我们开启 HTTPS 本意是为了更安全，增加用户信心。但是浏览器使用危险标识会适得其反，吓跑用户。

二、浏览器默认不会加载非HTTPS域名下的javascript

我了个擦，这和早年的禁用javascript差不多了。已经影响网页的正常运行了。

三、移动设备显示页面空白

手机浏览器打开页面，也会像桌面浏览器一样弹出是否加载不受信任的页面，在微信中打开则会一片空白。

---

以上种种，导致自己生成的证书无法在生产环境使用。

解决以上问题，需要购买CA的证书。不过我在阿里云上看到有免费的证书申请。https://www.aliyun.com/product/cas

3.1. ① 申请证书

购买过程就不详细说了。照着阿里云的提示一步一步做就好了。

证书生成后，会得到PFX类型的证书。

3.2. ② Tomcat 配置PFX证书

打开 Tomcat 配置文件 conf\server.xml。

取消注释，并添加三个属性 keystoreFile，keystoreType，keystorePass。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="/你的磁盘目录/订单号.pfx"
    keystoreType="PKCS12"
    keystorePass="订单号" />

其中，keystoreFile是PFX证书文件地址，keystorePass是阿里云的订单号，keystoreType直接写PKCS12 。

3.3. ③ 测试真实域名

重新启动Tomcat，访问你自己的域名，则可以正常使用了。浏览器会有绿色的域名标识，移动设备也正常了。至于http域名下的javascript，还是需要更换为https才能正常加载。

对于要不要使用 https，需要根据实际情况具体考虑，https会比http慢一些，但是会更安全。

4. 参考文献

http://lixor.iteye.com/blog/1532655