tomcat服务器配置把Http协议强制转化为Https
tomcat服务器配置把Http协议强制转化为Https分为两种情况:
1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源
2.双向认证,要求客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址,双向认证的安全级别较高
如果只是加密,我感觉单向就行了。
如果想要用系统的人没有证书就访问不了系统的话,就采用双向
首先在创建指定目录在存放tomcat证书,我这里是单独创建了一个D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security
执行命令 D: 和 cd apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security进入该目录
一、单向配置:
第一步:为服务器生成证书
使用keytool 为 Tomcat 生成证书,假定目标机器的域名是“ localhost ”, keystore 文件存放在“ D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore ”,口令为“ password ”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650 -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
这个tomcat.cer是为了解决不信任时要导入的
keytool -export -alias tomcat -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore -file D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.cer -storepass password
第二步:配置Tomcat 服务器
打开Tomcat 根目录下的 /conf/server.xml ,找到如下配置段,修改如下:
clientAuth="false" sslProtocol="TLS"
keystoreFile="D:/apache-tomcat-8.0.30-windows-x64/apache-tomcat-8.0.30/security/tomcat.keystore" keystorePass="password" />
第三步:配置具体的web应用的web.xml中的后面加上这样一段
应用程序的web.xml 可以加上这句话: 具体web系统
到这里启动tomcat
在intelliJ idea中的tomcat配置本地服务器启动的后弹窗的路径https://localhost:8443/SSMWork/web/findDemands.html
浏览器弹出如下页面,
至此可以正常运行,单项配置成功
二、双向配置:
第一步:为服务器生成证书
使用keytool 为 Tomcat 生成证书,假定目标机器的域名是“ localhost ”, keystore 文件存放在“ D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore ”,口令为“ password ”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650 -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
这个tomcat.cer是为了解决不信任时要导入的
keytool -export -alias tomcat -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore -file D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.cer -storepass password
第二步:为客户端生成证书
首先为浏览器的证书创建一个存放的目录D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security
下一步是为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE 和 Firefox ,证书格式应该是 PKCS12 ,因此,使用如下命令生成:
keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12 -validity 3650 -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\my.p12 -dname "CN=MyKey,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
由于是双向SSL 认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将 PKCS12 格式的证书库导入,我们必须先把客户端证书导出为一个单独的 CER 文件,使用如下命令:
keytool -export -alias myKey -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\my.p12 -storetype PKCS12 -storepass password -rfc -file D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\my.cer
通过以上命令,客户端证书就被我们导出到“D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\my.cer ”文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:
keytool -import -v -file D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\my.cer -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore -storepass password
通过list 命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书:
keytool -list -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore -storepass password
第四步:配置Tomcat 服务器
打开Tomcat 根目录下的 /conf/server.xml ,找到如下配置段,修改如下:
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="D:/apache-tomcat-8.0.30-windows-x64/apache-tomcat-8.0.30/browserCertify/tomcat.keystore" keystorePass="password"
truststoreFile="D:/apache-tomcat-8.0.30-windows-x64/apache-tomcat-8.0.30/browserCertify/tomcat.keystore" truststorePass="password"/>
第五步:应用程序的web.xml 可以加上这句话: 具体web系统
到这里启动tomcat,输入 https://localhost:8443/,是访问不了的:原因客户端证书没有导入浏览器
双击 “C:\my.p12” 即可将证书导入至 IE :输入创建时候的密码,password
这时再打开会弹出一个提示框:证书不可信任,有一个警告,说什么需要机构颁发。
这时再双击第一步生成的tomcat.cer。一直下一步,最后选“是”。
导入后,再输入地址就不是提示了。直接转向tomcat的猫页,说明成功了。