linux系统下配置tomcat服务端https加密-创新互联
原理:
将证书(也可以叫公钥)+私钥转化成 jks类型的keystore文件,在tomcat的server.xml中配置开启
踩坑:
1、多数文章都是针对自己生成证书,配置双向加密,其过程有生成,合并,导出,配置服务端,配置客户端等等,看的一塌糊涂
2、多数文章都是以实验为参考,误以为生成的keystore文件名可以随意命名,直接使用拷贝命令的方式生成了一个tomcat.keystore文件
正确的命令方式应该是(证书名.keystore),或者说是生成证书时的CN名称
3、clientAuth="true"这个是给双向认证的时候用的,需要配置成false
4、开始配置使用tomcat.keystore这个名称的时候,用内网浏览器访问的时候是正常,但是接下来使用公网通过真正申请证书那个域名访问的时候就访问不了
然后查找原因,各种测试,各种修改配置,内网浏览器测试也访问不了,这里个人猜测是开始的时候tomcat认为配置了一个证书,然后按照规则提供了访问
但是后来使用真正域名访问的时候,tomcat接收了一个证书内容和自己的一样,但是名称或者是说CN名称不一致,然后tomcat就不在提供服务了
过程:
1、将证书转为keystore形式,中间转换成p12的名字可以随意
a、先转为p12格式
openssl pkcs12 -export -in ./www.123.com.cn.cer -inkey ./server.key -out ./projectX.p12
记住输入的密码
b、将p12转为.keystore格式
keytool -importkeystore -v -srckeystore ./projectX.p12 -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore ./www.123.com.cn.keystore -deststoretype jks -deststorepass 123456
2、配置tomcat下server.xml文件
clientAuth="false" sslProtocol="TLS"
keystoreFile="/usr/local/cert/www.123.com.cn.keystore.keystore"
keystorePass="123456" />
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
分享标题:linux系统下配置tomcat服务端https加密-创新互联
URL标题:http://hbruida.cn/article/ccjoog.html