Tomcat：配置SSL

SSL简述

SSL就是安全套接字层,是一种允许web浏览器和 web服务器通过安全连接通信的技术。这是一个双向的过程,这意味着 服务器和浏览器在发送数据之前加密所有交流的数据。

SSL有一个重要的特点，就是需要认证。也就是说当使用Web浏览器访问Server时，Server会提供给浏览器一个证书。

在使用tomcat时，存在下面几种情况：

1）默认情况下，是不启用SSL的，通过https协议访问应用肯定是失败的。

2）只启用SSL时，只能通过https协议来访问。（这里不说AJP）

3）同时启用HTTP，HTTPS，就可以通过HTTP与HTTPS同时访问了。

生成keystore

证书是需要有密钥库来支撑，KeyStore文件就代表了密钥库。Key文件有多种形式，目前Tomcat支持的keystore有：JKS，PKCS11，PKCS12。其中JKS是java keystore，是由java实现的，可以通过jdk/bin/keytool工具创建keystore文件。PKCS12是一个网络标准，可以通过OpenSSL、Microsoft的Key-Manager来管理。

下面就使用JKS来作用密钥库格式。

-keyalg是生成公钥、私钥的算法。常用的有RSA、DSA等。

使用上述使用时密码必须是一致的，这一点是Tomcat要求的。其中第一个密码是keystore文件的密码，访问这个文件需要有密码的，最后的密码是生成的key的密码。

生成的keystore文件的位置，默认是在${user.home}/.keystore，如果想要改变位置，可以使用命令：

在server.xml配置SSL

KeystorePass就是keystore文件的访问密码。你可以修改为其它的。

keystoreFIle就是keystore文件的位置，让tomcat启动时找到密钥库。

测试

测试1：只启用HTTPS，不启用HTTP

在server.xml中，为8080端口的Connector加上注释，并且去掉8443端口的Connector的注释。然后启动tomcat。

分别通过http\https访问docs：

http://localhost:8080/docs、https://localhost:8443/docs

结果：只有https可以访问。

测试2：HTTP、HTTPS同时启用

在server.xml中，去掉8080、8443端口的Connector的注释然后启动tomcat。

分别用http\https访问docs：

http://localhost:8080/docs、https://localhost:8443/docs

结果：两者都可正常访问。

redirectPort作用

先看看tomcat官方文档是如何解释的：

If this Connector is supporting non-SSL requests, and a request is received for which a matching <security-constraint> requires SSL transport, Catalina will automatically redirect the request to the port number specified here.

　　如果当前的connector支持非SSL请求（也就是可以以http方法访问），并且请求的资源与web.xml中<security-constraint>中指定的url匹配时，Catalina就会自动的将请求重写向到redirectport指定端口。redirectport配置是SSL connector的端口。

security-constraint 下配置的url是用于对访问者进行身份认证的配置，怎么又与SSL有关了呢？

带着这个疑问，来看看oracle官方文档中关于web.xml描述：

> web-resource-collection是配置url的。

> auth-constraint是配置身份认证的。

> user-data-constraint是用于定义客户端与server通信时对数据的处理方式。

下面是user-data-constrain下的子元素：

Transport-guarantee 值中涉及到SSL的有2个：integral、confidential：

Integral：要求client与server之间传输的数据不能被篡改。

Confidential：要求client与server之间传输的数据会被转换，不能够直接看到原始内容。