在CentOS7中Tomcat部署SSL证书时遇到的问题

1.配置servlet.xml

配置tomcat/conf/server.xml 加入以下代码

  1. <Connector port="8443"
  2.     protocol="HTTP/1.1"
  3.     SSLEnabled="true"
  4.     scheme="https"
  5.     secure="true"
  6.     keystoreFile="证书路径"
  7.     keystoreType="PKCS12"
  8.     keystorePass="这里写密码"
  9.     clientAuth="false"
  10.     SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
  11.     ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

tomcat非root用户只能使用1024以上的端口,

对1024以下的端口进行设置会报以下错误,如443端口:(没有权限)

  1. Permission denied <null>:443

root用户启动tomcat有一个严重的问题,那就是tomcat具有root权限。

这意味着你的任何一个页面脚本(html/js)都具有root权限,所以可以轻易地用页面脚本 修改整个硬盘里的文件!

所以最好不要使用root启动tomcat。

因为之前配置80端口时也遇到过,所以想到直接转发端口

  1. iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443

这里有一个小坑 在配置证书pfx 地址的时候路径一定要写对,在conf/servlet.xml 的相对路径下是tomcat的根路径,

并不是conf(这个在tomcat启动后发现无法访问网站,看了日志以后才知道..)

密码直接复制上去就可以了

2.http强转https

在conf/web.xml下加入以下内容:

  1. #在</welcome-file-list>后添加以下内容:
  2. <login-config>
  3.     <!-- Authorization setting for SSL -->
  4.     <auth-method>CLIENT-CERT</auth-method>
  5.     <realm-name>Client Cert Users-only Area</realm-name>
  6. </login-config>
  7. <security-constraint>
  8.     <!-- Authorization setting for SSL -->
  9.     <web-resource-collection >
  10.         <web-resource-name >SSL</web-resource-name>
  11.         <url-pattern>/*</url-pattern>
  12.     </web-resource-collection>
  13.     <user-data-constraint>
  14.         <transport-guarantee>CONFIDENTIAL</transport-guarantee>
  15.     </user-data-constraint>
  16. </security-constraint>

配置强转以后,我发现访问http 的时候给我转发到8443端口上了,导致无法访问https,http端口为如下配置

  1. <Connector port="8080"
  2.  protocol="HTTP/1.1"
  3.  connectionTimeout="20000"
  4.  redirectPort="8443"
  5.  maxThreads="1000"
  6.  minSpareThreads="20"
  7.  acceptCount="1000"
  8.  maxHttpHeaderSize="65536"
  9.  debug="0"
  10.  disableUploadTimeout="true"
  11.  useBodyEncodingForURI="true"
  12.  enableLookups="false"
  13.  URIEncoding="UTF-8"/>

后来将redirectPort改成如下 就好了,应该就是重定向端口的意思(小白猜测)

  1.  redirectPort="443"

3.重启tomcat服务

千万别忘了阿里云的防火墙开启443端口!!!

这个时候不要急,重启后服务器还要编译文件,可能要等个几分钟才能访问你的网站.

Tomcat部署SSL证书过程中遇到的问题的更多相关文章

  1. Tomcat配置SSL证书(PFX证书)

    公司项目,应该是阿里云服务器 在windows2008 R2搭建的 Tomcat部署SSL证书,本文以PFX证书为例. 配置好之后开始 一.什么是SSL(证书)? SSL证书服务(Alibaba Cl ...

  2. CentOS系统Tomcat 8.5或9部署SSL证书

    本文档介绍了CentOS系统下Tomcat 8.5或9部署SSL证书的操作说明. 环境准备 操作系统:CentOS 7.6 64位 Web服务器:Tomcat 8.5或9 前提条件 已从阿里云SSL证 ...

  3. Tomcat 服务器轻松部署 SSL 证书

    Tomcat 服务器 SSL 证书安装部署 1准备服务器 购买网上各个产家的云服务器 或者在自己的电脑上装虚拟机 二者皆可,建议选择第一种,因为操作起来相对方便 2安装JDK 2.1上传JDK到Lin ...

  4. 实战申请Let's Encrypt永久免费SSL证书过程教程及常见问题

    最近需要https这里看到一份不错的博客,收录一下! Let's Encrypt作为一个公共且免费SSL的项目逐渐被广大用户传播和使用,是由Mozilla.Cisco.Akamai.IdenTrust ...

  5. 在IIS下部署SSL证书实现HTTPS

    在IIS下部署SSL证书实现HTTPS   HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版.谷歌已经制定了一项长远的计划,它的最终目标是将所有通过HTTP协议呈现的网页标为“不安全” ...

  6. 申请Let’s Encrypt永久免费SSL证书过程教程及常见问题

    配置证书https://easy.zhetao.com/   虽然目前Let’s Encrypt免费SSL证书默认是90天有效期,但是我们也可以到期自动续约,不影响我们的尝试和使用,为了考虑到文章的真 ...

  7. Resin 4.0 部署SSL证书

    前言 Resin目前最新的版本还是4.0 (4.0.49),使用Java EE6,在Resin上部署证书,一般有两种方式,首先我们推荐采用Openssl方式,不仅因为Openssl模式下的速度更快,而 ...

  8. IIS部署SSL证书后提示不可信的解决方案

    IIS部署SSL证书后提示不可信的解决方案   本帖最后由 wosign-support3 于 2015-7-17 17:18 编辑 第一步:打开mmc——点击文件——添加删除管理单元——证书——计算 ...

  9. 记录centos7下tomcat部署war包过程

    记录centos7下tomcat部署war包过程 1.官网下载tomcat安装包.gz结尾的 2.上传到/usr/local/ ,并解压到tomcat目录下 3.进入tomcat/bin目录,运行./ ...

随机推荐

  1. js new Date() 测试

    var t = new Date().toString(); //t = "Thu Oct 31 2019 11:36:57 GMT+0800 (中国标准时间)" var t1 = ...

  2. C# 4.0

    序言 动态绑定-dynamic class Program { static void Main(string[] args) { ; ; // Rest the mouse pointer over ...

  3. Flash大文件断点续传功能

    一.概述 所谓断点续传,其实只是指下载,也就是要从文件已经下载的地方开始继续下载.在以前版本的HTTP协议是不支持断点的,HTTP/1.1开始就支持了.一般断点下载时才用到Range和Content- ...

  4. hdu 1051 wooden sticks (贪心+巧妙转化)

    #include <iostream>#include<stdio.h>#include<cmath>#include<algorithm>using ...

  5. Codeforces Round #584 - Dasha Code Championship - Elimination Round (rated, open for everyone, Div. 1 + Div. 2) G1. Into Blocks (easy version)

    题目:https://codeforc.es/contest/1209/problem/G1 题意:给你一个序列,要你进行一些操作后把他变成一个好序列,好序列的定义是,两个相同的数中间的数都要与他相同 ...

  6. java命令--jstack 工具【转载】

    一.介绍 jstack是java虚拟机自带的一种堆栈跟踪工具.jstack用于打印出给定的java进程ID或core file或远程调试服务的Java堆栈信息,如果是在64位机器上,需要指定选项&qu ...

  7. 高性能JavaScript之加载和执行

    JS在浏览器中的性能,可以认为是开发者所面临的最重要的可行性问题.这个问题因JS的阻塞特性变得复杂,也就是说当浏览器在执行JS代码时,不能同时做其他任何事情.事实上,大多数浏览器都使用单一进程来处理U ...

  8. 套接字之sendto系统调用

    sendto系统调用用于向指定的目的地址发送数据,其系统调用的流程比较容易理解,如下面所示,其主要完成 (1)将用户数据组织成msghdr,(2)而后调用socket操作的sendmsg:ipv4对应 ...

  9. linux设置MySQL开机自动启动

    step1: 通过chkconfig --list命令查看mysqld是否在列表中: step2: 如果列表中没有mysqld这个,需要先用这个命令添加:chkconfig --add mysqld ...

  10. spark 笔记 2: Resilient Distributed Datasets: A Fault-Tolerant Abstraction for In-Memory Cluster Computing

    http://www.cs.berkeley.edu/~matei/papers/2012/nsdi_spark.pdf  ucb关于spark的论文,对spark中核心组件RDD最原始.本质的理解, ...