tomacat7开启单向https配置后相关事项(windows)

打开web应用的web.xml文件,在最后加上这样一段
 <security-constraint>
      <web-resource-collection>
           <web-resource-name>Protected Context</web-resource-name>
           <url-pattern>/*</url-pattern>
      </web-resource-collection>
      <user-data-constraint>
           <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
 </security-constraint>
重启tomcat,现在你访问原来的地址,假设是 http://localhost:8080/index,
连接被重定向到了https的连接 https://localhost:8080/index,
 如果想指定部分链接强制跳转,则将上面xml代码段中的
     <url-pattern>/*</url-pattern>
 的 /* 替换为响应路径,
 eg.强制开启网站后台http访问跳转https,假设网站后台是http://localhost:8080/admin,
 则将 /* 修改成 /admin 即可,保存web.xml,并重启tomcat.
 在浏览器中访问后台http://localhost:8080/admin,会发现后台自动跳转到了https链接,再访问其他页面,
 则保持原有http链接,不会强制跳转https。

但似乎还有点小问题,keystorePass="123456",这个密码直接被明码方式写在server.xml里。感觉需要再修改一下。

使用openssl。

首先,需要下载openssl,为了方便,可以下载一个绿色版,
    http://www.itrus.com.cn/verisignchina/Service/soft/autocsr.rar
加压后除了openssl.exe以外,还有一个bat文件,这个可以帮助我们快速创建证书申请文件。
运行autocsr.bat,按照提示输入信息,之后按任意键确认。你会得到两个文件,一个server.key,这是私钥文件,
还有一个名为certreq.csr的证书请求文件。

如果你要向证书颁发机构申请正式的安全证书,那么就把这个certreq.csr文件发给他们就行了。
他们会给你发来两个cer文件,一个是服务器证书,一个是根证书
如果你只是要使用https,那么证书自己签署就可以了。
在命令行下进入刚才解压的目录,找到openssl.exe所在的目录,执行以下命令
openssl x509 -req -in certreq.csr -out cert.cer -signkey server.key -days 3650
现在你将得到一个名为cert.cer的证书文件。
修改server.xml将
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
         maxThreads="150" scheme="https" secure="true"
         keystoreFile="bin/.keystore" keystorePass="123456"
         clientAuth="false" sslProtocol="TLS" />
修改为以下内容(假设cert.cer和server.key文件都放在tomcat的conf目录下)
     <Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol" SSLEnabled="true"
        maxThreads="150" scheme="https" secure="true"
        SSLCertificateFile="conf/cert.cer"
        SSLCertificateKeyFile="conf/server.key"
        sslProtocol="TLS" />

PS.如果真的向证书颁发机构申请到了正式的安全证书,那么配置还有点不同,如下
 <Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol" SSLEnabled="true"
      maxThreads="150" scheme="https" secure="true"
      SSLCertificateFile="conf/server.cer"
      SSLCertificateKeyFile="conf/server.key"
      SSLCertificateChainFile="conf/intermediate.cer"
      sslProtocol="TLS" />
因为证书颁发机构会给两个证书,一个是签署后的服务器证书,还有一个中级CA证书,所以要多一行配置。
好了,到这里都配置完了,重启tomcat,就可以看到效果。

不过,看到的通常会是一个exception,
大概是说APR not available
如果遇到这个异常,说明你的tomcat没有安装apr支持,请到以下地址去下载
http://apache.etoak.com//tomcat/tomcat-connectors/native/1.1.22/binaries/win32/
需要下载tcnative-1.dll和openssl.exe
将它们放到tomcat的bin目录下,然后修改catalina.bat文件,在其中加入SET PATH=%PATH%;.(最后的点不能漏掉)
之后启动tomcat,问题应该解决了,看起来效果和第一种方式没什么不同。


你可能感兴趣的:(tomacat7开启单向https配置后相关事项(windows))