Let'sEncrypt是一个免费SSL证书发行项目,发行的证书已经获得主流浏览器的支持。
这里说如何使用Let'sEncrypt获得免费SSL证书,配置apache的SSL功能,请求转发到Tomcat并且访问HTTP的请求的时候自动跳转至HTTPS请求。
下列全部操作都是在centos6.8阿里云机器上测试通过的。
说的有不明白的,建议事先网上了解下。
我这里有配置好的样子,这个地方通过Apache转发到Tomcat,配置的有SSL证书以及访问HTTP时自动跳转至HTTPS,这里直接访问 s.hanyz.cn 自动跳转:
大致步骤:
- 准备好一个域名,解析到你的公网服务器(我的是s.hanyz.cn)
- 安装Let'sEncrypt
- 安装及配置Apache
- 给准备的域名生成ssl证书文件
- tomcat环境配置好(我这里准备的一个项目名叫kind_editor测试使用)
- 给Apache设置HTTP请求转发至HTTPS
一、安装Let'sEncrypt
进入到一个目录下,在当前目录下载Let's Let'sEncrypt。
wget -p ./ https://github.com/certbot/certbot
下载完是一个文件夹名称为certbot的。
cd certbot进入目录,执行命令,Let's Let'sEncrypt会自己安装。
./letsencrypt-auto --help
二、安装配置Tomcat(事先配置好JDK)
- 下载安装包(略)。
- 解压(略)。
三、安装Apache
安装
yum install httpd
配置ssl需要先按照ssl
yum install mod_ssl
安装完可以先启动一些Apache,看安装好了没。
Apache启动
service httpd start
启动完成后,地址栏上输入公网IP地址,则会跳转到Apache的首页。
提示:
Apache 启动: service httpd start
Apache 停止: service httpd stop
Apache 重启: service httpd restart
Apache 配置文件: /etc/httpd/conf/httpd.conf
Apache ssl模块的配置文件: /etc/httpd/conf.d/ssl.conf
四、配置Apache
配置Apache在http协议基础上使用ProxyPass转发URL到Tomcat
通俗的说就是:我们使用Apache的请求转发功能,转发到哪?转发到Tomcat 下。
在 httpd.conf 文件里面加入以下代码:
NameVirtualHost *:80
ProxyPreserveHost On
ServerName s.hanyz.cn
ProxyPass / http://localhost:8080/
ErrorLog logs/error_log
CustomLog logs/access_log common
RewriteEngine on
RewriteCond %{SERVER_PORT} 80
RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]
RewriteLog /var/log/httpd/rewrite.log
RewriteLogLevel 10
ServerName: 配置的是你的需要访问的域名。
ProxyPass: 你想能通过这个域名要访问到Tomcat下的什么项目。
Rewrite: 这些开头是配置将http协议的请求自动跳转到https协议。
这个地方不说tomcat怎么配置域名绑定,百度一搜就知道。就在Host下配置一个就行了。
然后就到了配置SSL了,它来实现http自动转换成https协议。
ProxyPass /test http://localhost:8080/examples
ProxyPassReverse /test http://localhost:8080/examples
ProxyPass /docs http://localhost:8080/docs
ProxyPassReverse /docs http://localhost:8080/docs
ProxyPass / http://localhost:8080/
ProxyPassReverse / http://localhost:8080/
第一个是当我访问 s.hanyz.cn/test 的时候,自动跳转到 https://s.hanyz.cn/test ,那Apache会给指向到 http://localhost:8080/examples 下,也就是Tomcat下的 examples 目录
我这里是事先已经配置好了证书,所以是带绿锁的。
如下图所示是通过Apache请求转发了的:
下面是主动通过tomcat访问到的,效果是一样的:
到这个地方基本完成了那些呢?
- Apache配置请求转发。
- 自动跳转到https请求。
下面就是给域名签名获取免费的SSL证书了。
五、给域名生成证书
修改ssl.conf,将
Let's Let'sEncrypt支持3种认证方式
--apache Use the Apache plugin for authentication & installation
--standalone Run a standalone webserver for authentication
--webroot Place files in a server's webroot folder for authentication
这里使用apache的认证方式,命令如下:
cd certbot进入目录:
./letsencrypt-auto --apache --apache-le-vhost-ext /etc/httpd/conf.d/ssl.conf --register-unsafely-without-email
这个地方需要注意的是可能会有的坑:
确保公网服务器有开放安全组的端口,除了服务器上 iptables 设置了,阿里云或腾讯云上管理控制台上也需要手动开放端口。
不然在敲完上面的命令以后,生成证书的时候,安全组的安全设置导致域名没有开发443端口,就会出现下面的错。
类型那里说是: 未知的Host ,一开始也觉得奇怪,ping通了呀,为啥生成配置文件就错误了呢,后来突然想到了443端口是否被限了。
然后敲完上面这个命令以后,Let'sEncrypt 会问你给哪个域名配置证书, 选择数字对应自己设置的域名 (也就是之前ssl.conf中设置的域名)。
选择完数字,还有一个选项 ,选择对应数字就行了。
最后生成成功以后, 有个 祝贺的xxx 英文单词一堆,就没细看了,知道是生成ssl证书成功了。
下面是ssl证书生成完的路径
/etc/letsencrypt/live/www.example.com/
Let's Let'sEncrypt会自动修改ssl.conf文件,关联证书
ssl证书也有了,再通过地址访问的时候,就会出现小绿锁了,并且Apache能转发Tomcat的请求。
我的博客文章地址:http://www.hanyz.cn/2017/07/01/Let-sEncrypt-Apache-Tomcat%E5%AE%9E%E7%8E%B0%E5%85%8D%E8%B4%B9HTTPS/