3.配置Tomcat
3.1 生成jks文件
由于Tomcat证书不支持直接使用pem + 私钥的方式,因此,需要多一步使用Openssl将full_chain.pem+private.key转换为jks的步骤,首先将full_chain.pem和private.key上传至服务器的任何目录,我存放的目录是:/root/apache-tomcat-ssl,如下图:
随后使用如下命令,在当前目录下生成一个名为freeSSL.jks的文件,如果使用不了如下命令,尝试考虑升级Openssl到最新版本:
openssl pkcs12 -export -out /root/apache-tomcat-ssl/freeSSL.jks -in ./full_chain.pem -inkey ./private.key
命令过程中会要求输入keystore密码,两次确保一致,并记住该密码,为了演示,我输入的密码为:123456(产品环境下,请确保安全换成其他复杂密码)
3.2 配置server.xml
编辑Tomcat目录下的server.xml文件,文件路径位于:$CATALINA_HOME/conf/server.xml,取决于你的Tomcat安装在何处。
在Connector中,添加如下Connector:
代码附上:
这一步中的keystoreFile填写之前使用Openssl生成的jks文件,keystorePass使用之前输入的密码。
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="/root/apache-tomcat-ssl/freeSSL.jks" keystorePass="123456" clientAuth="false" sslProtocol="TLS"/>
此外,为了将Tomcat监听80端口,并将HTTPS请求转发到443端口(443为SSL默认端口),还需要将server.xml文件中原有的Connector修改为如下:
将port="8080"改为port="80",redirectPort="8443"改为redirectPort="443"
修改好,保存退出,重启Tomcat,在公网上访问输入地址:letcafe.cn,发现虽然:
通过输入https://letcafe.cn。实现了网站上的小锁显示了
但是输入letcafe.cn后,却失去了Https的加密:
但是,不能用户每次都去手敲HTTPS对不对,此时的Tomcat是会对默认继续使用HTTP,所以如果需要将该域名下的所有访问都走HTTPS加密的话,需要将所有对Tomcat的THHP访问都默认转发给HTTPS的访问,实现不管输入letcafe.cn还是https://letcafe.cn都访问的是HTTPS(如果没有此需求,可不需要下一步)
4.转发Http请求到Https
这一步非常简单,编辑$CATALINA_HOME/conf/web.xml文件,在其中添加如下代码:
