Tomcat9使用免费的Https证书加密网站的方法

1.概述

Apache Tomcat是一款优秀的Java Web容器,对于各个站长来说,可以很方便的使用Tomcat将自己的网站博客放在公网的服务器上,分享自己的心得以及个人博客。

那么在公网中的访问,没有被第三方公认可信的机构加密时,会默认使用Http协议,以明文将自己的网站在公网上传输。这对于大部分领域都没关系,但是对于某些敏感的数据,甚至机密需要保护的数据,例如:银行卡号、银行密码、手机验证码之类的信息,一旦被别有用心的人在中途使用抓包工具拦截,那么将会导致不可设想的后果。

那么网站需要使用SSL(Secure Sockets Layer),顾名思义,安全的套接字层。通过这层提供的保障,在SSL上面运行的应用都可以安全传输。

本文第二部分介绍如果获取免费的证书,第三部分介绍如何用已有的证书在Tomcat中配置,使得Https能够运作,最后一部分介绍,如何在浏览器中输入地址,自动由Http转发到Https上,有需要的读者可以根据需要跳过相应部分。

2.获取证书

对于Https的证书,相当于是在传输过程中加入了第三方的验证机制,简称CA(Certificate Authority),确保传输的安全性。对于大部分证书,签发是需要一定的费用的,本段落主要介绍免费的证书提供方:FreeSSL

官方地址:https://freessl.org/

具备SSL免费证书申请的前提是,先得有一个域名,没有域名的用户可以先移步阿里云或者腾讯云等域名交易网站购买域名,本例中,我使用自己的已有域名:letcafe.cn作为样例

下面介绍如何获取免费域名Https证书

步骤1、输入你所购买的域名

步骤2、选项默认,如果没特殊需求按步骤填入邮箱后创建:

步骤3、创建完成后,等待几秒后,将会生成一个域名解析DNS的验证环节。对此,需要您去域名供应商网站添加解析,例如,我是用的是阿里云,我在:阿里云->控制台->域名与网站,找到对应的域名添加解析

解析示意图如下:

解析添加完成后,等待将近一分钟,可以回到FreeSSL验证DNS,单击“点击验证”按钮后,将会返回你的CA证书以及公钥

然后点击证书下载,即可获得带有full_chain.pem的文件以及叫private.key的私钥,到此,免费的证书已经申请完毕,下一步将Tomcat的对应内容加入HTTPS

3.配置Tomcat

3.1 生成jks文件

由于Tomcat证书不支持直接使用pem + 私钥的方式,因此,需要多一步使用Openssl将full_chain.pem+private.key转换为jks的步骤,首先将full_chain.pem和private.key上传至服务器的任何目录,我存放的目录是:/root/apache-tomcat-ssl,如下图:

随后使用如下命令,在当前目录下生成一个名为freeSSL.jks的文件,如果使用不了如下命令,尝试考虑升级Openssl到最新版本:

代码如下:

openssl pkcs12 -export -out /root/apache-tomcat-ssl/freeSSL.jks -in ./full_chain.pem -inkey ./private.key

命令过程中会要求输入keystore密码,两次确保一致,并记住该密码,为了演示,我输入的密码为:123456(产品环境下,请确保安全换成其他复杂密码)

3.2 配置server.xml

编辑Tomcat目录下的server.xml文件,文件路径位于:$CATALINA_HOME/conf/server.xml,取决于你的Tomcat安装在何处。

在Connector中,添加如下Connector:

代码附上:

这一步中的keystoreFile填写之前使用Openssl生成的jks文件,keystorePass使用之前输入的密码。

<Connector
 protocol="org.apache.coyote.http11.Http11NioProtocol"
 port="443" maxThreads="200"
 scheme="https" secure="true" SSLEnabled="true"
 keystoreFile="/root/apache-tomcat-ssl/freeSSL.jks" keystorePass="123456"
 clientAuth="false" sslProtocol="TLS"/>

此外,为了将Tomcat监听80端口,并将HTTPS请求转发到443端口(443为SSL默认端口),还需要将server.xml文件中原有的Connector修改为如下:

将port="8080"改为port="80",redirectPort="8443"改为redirectPort="443"

修改好,保存退出,重启Tomcat,在公网上访问输入地址:letcafe.cn,发现虽然:

通过输入https://letcafe.cn。实现了网站上的小锁显示了

但是输入letcafe.cn后,却失去了Https的加密:

但是,不能用户每次都去手敲HTTPS对不对,此时的Tomcat是会对默认继续使用HTTP,所以如果需要将该域名下的所有访问都走HTTPS加密的话,需要将所有对Tomcat的THHP访问都默认转发给HTTPS的访问,实现不管输入letcafe.cn还是https://letcafe.cn都访问的是HTTPS(如果没有此需求,可不需要下一步)

4.转发Http请求到Https

这一步非常简单,编辑$CATALINA_HOME/conf/web.xml文件,在其中添加如下代码:

代码如下:

<!-- 增加所有网址自动跳转https -->
 <security-constraint>
  <web-resource-collection>
    <web-resource-name >SSL</web-resource-name>
     <url-pattern>/*</url-pattern>
    </web-resource-collection>
   <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
   </user-data-constraint>
 </security-constraint>

保存后重启Tomcat,即可完成目标

5.访问测试

在浏览器中输入:letcafe.cn或者https://letcafe.cn或者http://letcafe.cn都可以实现访问定向到https://letcafe.cn中

6.可能会遇到的问题

如果访问不了确认如下问题是否解决:

1.防火墙是否开放端口,CentOS中是firewalld,是否添加了443和80端口

解决方案:添加端口并重载防火墙规则命令如下:

firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --reload

查看服务器已对外开放端口命令,确认是否已放通80与443端口:

firewall-cmd --zone=public --list-ports

2.云服务提供商的拦截规则时候设置开放端口,例如:

阿里云->控制台->云服务器ECS->你的服务器->更多->安全组配置

配置规则中,加入80和443端口的开放,具体配置参照阿里云文档,腾讯云等其他服务商也类似,需要在服务器端先开放云服务商的拦截配置。

配置HTTPS踩了一些坑,希望能分享帮到他人,如有疑问,欢迎留言!

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • CentOS7 下载安装Tomcat 9的教程详解

    tomcat 不多解释,直接开车: 1.官网下载安装包 将tomcat 安装到  /usr/local/tomcat/   目录下 cd /usr/local/ mkdir tomcat/ cd tomcat/ wget http://archive.apache.org/dist/tomcat/tomcat-9/v9.0.0.M18/bin/apache-tomcat-9.0.0.M18.tar.gz 2.解压 ,执行以下命令 tar -zxvf apache-tomcat-9.0.0.M18

  • Ubuntu安装配置tomcat9教程

    Ubuntu配置tomcat9,供大家参考,具体内容如下 一.下载tar.gz压缩文件 这里下载core版本的. 二.把压缩包复制到/usr/tomcat文件夹下(这里的tomcat文件夹是自己建的) 解压压缩文件 sudo tar -zxvf apache-tomcat-9.0.0.M18.tar.gz 三.设置环境变量 按照百度的教程: 使用gedit打开startup.sh文件,添加Java的jdk与jre(前提是已经安装jdk与jre) sudo gedit /usr/tomcat/ap

  • Docker在CentOS7下不能下载镜像timeout的解决办法(图解)

    今天小编给大家记录下Docker在CentOS7下不能下载镜像timeout的问题,先给大家说下问题的来龙去脉. 问题描述: 昨天买了六个月阿里云服务器的学生机用来部署毕设环境,在鼓捣docker的时候出现问题,docker安装成功并且已经成功启动,如图 但在pull镜像的时候却出现超时无法下载镜像的问题,估计是国内docker官方镜像被墙了,网上找了好久发现要使用国内镜像加速,推荐的有Daocloud和阿里云,我使用的是Daocloud镜像加速,注册了账号之后上方会有一个镜像加速的超链接 点进

  • Tomcat9使用免费的Https证书加密网站的方法

    1.概述 Apache Tomcat是一款优秀的Java Web容器,对于各个站长来说,可以很方便的使用Tomcat将自己的网站博客放在公网的服务器上,分享自己的心得以及个人博客. 那么在公网中的访问,没有被第三方公认可信的机构加密时,会默认使用Http协议,以明文将自己的网站在公网上传输.这对于大部分领域都没关系,但是对于某些敏感的数据,甚至机密需要保护的数据,例如:银行卡号.银行密码.手机验证码之类的信息,一旦被别有用心的人在中途使用抓包工具拦截,那么将会导致不可设想的后果. 那么网站需要使

  • 微信小程序 后台https域名绑定和免费的https证书申请详解

    微信小程序 后台https域名绑定和免费的https证书申请详解 微信小程序在11月3号发布了,这是一个全新的生态,没有赶上微信公众号红利的开发者,运营者可别错过这趟车了. 但是微信的后台需要全https,之前我还不相信,后台注册了后进后台才发现,服务器配置如下图 从后台的服务器配置可以看出 (1)微信小程序后台只支持https,如果公司后台还没支持https的,赶紧要升级了 (2)API请求,文件上传,socket 文件上传和下载,必须是在后台配置的,否则微信不允许你下载       另外,h

  • python实现无证书加密解密实例

    本文实例讲述了python实现无证书加密解密的方法,分享给大家供大家参考.具体实现方法如下: 无证书加密就是双方不需要维护证书,加密与解密只需要双方约定一个key就可以,无证书加解密的方式应用更广泛一些,python官方也有这方面的相关例子说明,地址是:https://pypi.python.org/pypi/pycrypto,主要用的是from Crypto.Cipher import AES这个模块,代码如下: 复制代码 代码如下: ''' /** * AES加密字符串 * * @param

  • IIS7.0 Windows Server 2008 R2 下配置证书服务器和HTTPS方式访问网站的教程图文详解

    配置环境 Windows版本:Windows Server 2008 R2 Enterprise Service Pack 1 系统类型: 64 位操作系统 了解HTTPS 为什么需要 HTTPS ? 在我们浏览网站时,多数网站的URL都是以HTTP开头,HTTP协议我们比较熟悉,信息通过明文传输; 使用HTTP协议有它的优点,它与服务器间传输数据更快速准确; 但是HTTP明显是不安全的,我们也可以注意到,当我们在使用邮件或者是在线支付时,都是使用HTTPS; HTTPS传输数据需要使用证书并对

  • Nginx 域名SSL证书配置(网站 http 升级为 https)

    前言 HTTP 和 HTTPS 我们日常生活中,常见的网址大致分为2种: 一种是基于 http 协议,如:http://www.baidu.com 一种是基于 https 协议,如:https://www.baidu.com 现在很多网站出于安全的考虑,会把网站的域名访问从 http 已经升级为 https,如果你不知道 http 和 https 的概念,不妨先看看下面这篇文章:HTTP和HTTPS有什么不同 SSL 证书 那么我们如何将 http 升级为 https 呢? 我们要升级 http

  • Nginx下配置Https证书详细过程

    一.Http与Https的区别 HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少. HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL.HTTPS协议的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全:另一种就是确认网站的真实性. H

  • 开启OCSP提升https证书验证效率解决Let’s Encrypt SSL证书访问慢的问题

    这几天网站访问出现第一次打开网站特别慢,打开以后页面打开速度正常的问题,经过研究发现是HTTPS证书验证超时的问题,证书商的验证URL无法访问不知道是线路问题还是被墙了. 请教了几位大神如何解决HTTPS证书验证超时的问题.给出的解决方案是要么换证书商,要么开启OCSP. 我这种穷人哪用得起大厂的HTTPS证书呀,只能采用第二种方案,开始OCSP. 如果网站部署了免费的Let's Encrypt证书时,第一次https打开此网站时会显得很慢,往往需要等待四五秒才能正常打开,这是由于特殊原因,oc

  • Android webview手动校验https证书(by 星空武哥)

    有些时候由于Android系统的bug或者其他的原因,导致我们的webview不能验证通过我们的https证书,最明显的例子就是华为手机mate7升级到Android7.0后,手机有些网站打不开了,而更新了webview的补丁后就没问题了,充分说明系统的bug对我们混合开发webview加载https地址的影响是巨大的.那么我们怎么去解决这个问题呢? 首先我们去分析一下出现的原因 当webview加载https地址的时候,如果因为证书的问题出错的时候就会走onReceivedSslError()

  • python有证书的加密解密实现方法

    本文实例讲述了python有证书的加密解密实现方法.分享给大家供大家参考.具体实现方法如下: 最近在做python的加解密工作,同时加完密的串能在php上能解出来,网上也找了一些靠谱的资料,刚好也有时间我就总结了一下python在加密与解密这块的代码,今后可能还能用的上.相对于php而言python这块加解密组件较多的,分别是: python-crypto - 这个组件是基本组件,使用的函式相对比较复杂. ezPyCrypto - 相对简单,但他作出来的公私钥无法与其他程序相兼容     SSL

  • Android okhttp3.0忽略https证书的方法

    最近公司项目需要,网络协议支持https,之前接触不多,所以这次想总结一下https在android开发中的相关内容 一.https证书 对于https和证书的概念,大家可以自行搜索百度. 证书分两种: 1.花钱向认证机构购买的证书,(我们公司买的证书一个就需要4000元,TMD,还不如多租一台服务器).服务器如果使用了此类证书的话,那对于移动端来说,直接可以忽略此证书,直接用https访问.与之不同的是ios内置了很多信任的证书,所以他们不需要做任何操作 2.另一种是自己制作的证书,使用此类证

随机推荐