Tomcat 的 SSL 配置

本教程使用 JDK 6 和 Tomcat 7，其他版本类似。

基本步骤：

1. 使用 java 创建一个 keystore 文件
2. 配置 Tomcat 以使用该 keystore 文件
3. 测试
4. 配置应用以便使用 SSL ，例如 https://localhost:8443/yourApp

1. 创建 keystore 文件

执行 keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "f:\tomcat.keystore" 结果如下:

　　D:\Java\jdk1.8.0_101\bin>keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "f:\tomcat.keystore"
　　输入密钥库口令:tomcat
　　再次输入新口令:tomcat
　　您的名字与姓氏是什么?
　　　　[Unknown]: zixianwu
　　您的组织单位名称是什么?
　　　　[Unknown]: taishan
　　您的组织名称是什么?
　　　　[Unknown]: fangda
　　您所在的城市或区域名称是什么?
　　　　[Unknown]: sz
　　您所在的省/市/自治区名称是什么?
　　　　[Unknown]: gd
　　该单位的双字母国家/地区代码是什么?
　　　　[Unknown]: zh
　　CN=zixianwu, OU=taishan, O=fangda, L=sz, ST=gd, C=zh是否正确?
　　　　[否]: y

　　输入 <tomcat> 的密钥口令
　　　　(如果和密钥库口令相同, 按回车):

这样就在用户的 F盘 下创建了一个 tomcat.keystore 文件

2. 配置 Tomcat 以使用 keystore 文件

打开 server.xml 找到下面被注释的这段

　　<!--

　　<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
　　　　maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
　　　　clientAuth="false" sslProtocol="TLS" />
　　-->

干掉注释，并将内容改为

　　<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
　　　　maxThreads="25" SSLEnabled="true" scheme="https" secure="true"
　　　　clientAuth="false" sslProtocol="TLS"
　　　　acceptCount="100" disableUploadTimeout="true" enableLookups="false"
　　　　keystoreFile="F:/tomcat.keystore"
　　　　keystorePass="tomcat" />

3. 测试

启动 Tomcat 并访问 https://localhost:8443. 你将看到 Tomcat 默认的首页。

需要注意的是，如果你访问默认的 8080 端口，还是有效的。

4. 配置应用使用 SSL

打开应用的 web.xml 文件，增加配置如下：

　　<security-constraint>

    <web-resource-collection>

        <web-resource-name>securedapp</web-resource-name>

        <url-pattern>/*</url-pattern>

    </web-resource-collection>

    <user-data-constraint>

        <transport-guarantee>CONFIDENTIAL</transport-guarantee>

    </user-data-constraint>

　　</security-constraint>

将 URL 映射设为 /* ，这样你的整个应用都要求是 HTTPS 访问，而 transport-guarantee 标签设置为 CONFIDENTIAL 以便使应用支持 SSL。

如果你希望关闭 SSL ，只需要将 CONFIDENTIAL 改为 NONE 即可。