閱讀本文前,請(qǐng)先參看前文https://www.jb51.net/article/142204.htm
當(dāng)我們使用Java生成的證書使用https訪問時(shí)會(huì)出現(xiàn)未認(rèn)證的問題,證書風(fēng)險(xiǎn)
現(xiàn)在我們就申請(qǐng)一個(gè)阿里云云盾的免費(fèi)證書
一、登錄阿里云-->安全(云盾)-->證書服務(wù)->購(gòu)買證書
在配置單中選擇 "免費(fèi)型DV SSL" 證書提供商品牌為:“賽門鐵克” 注意:免費(fèi)數(shù)字證書,最多保護(hù)一個(gè)明細(xì)子域名,不支持通配符,一個(gè)阿云帳戶最多簽發(fā)20張免費(fèi)證書最后支付。
然后再點(diǎn)擊查看
此時(shí)還未完成,需要點(diǎn)擊補(bǔ)全信息,并填寫相應(yīng)信息。真實(shí)填寫就可以了。包括:域名、姓名、郵箱等等。因?yàn)槲业挠蛎峭泄艿桨⒗镌平馕龇?wù)的,所以我的認(rèn)證方式DNS解析認(rèn)證,并勾選了發(fā)送cname。填寫完成后才是“待審核”狀態(tài),等待就可以了。
10分鐘左右就會(huì)收到阿里云的郵件。郵件的內(nèi)容:發(fā)送給你的 主機(jī)記錄和記錄值。
阿里云自動(dòng)的去添加了一條cname記錄
大概過半個(gè)多小時(shí)后證書狀態(tài)會(huì)變成已簽發(fā)
這個(gè)時(shí)候就可以點(diǎn)進(jìn)去下載證書了。選擇tomcat,支持2種方式:
Tomcat支持JKS格式證書,從Tomcat7開始也支持PFX格式證書,兩種證書格式任選其一,我使用的第一種方式。
文件說明:
1. 證書文件214068026470389.pem,包含兩段內(nèi)容,請(qǐng)不要?jiǎng)h除任何一段內(nèi)容。
2. 如果是證書系統(tǒng)創(chuàng)建的CSR,還包含:證書私鑰文件214068026470389.key、PFX格式證書文件214068026470389.pfx、PFX格式證書密碼文件pfx-password.txt。
1、證書格式轉(zhuǎn)換
在Tomcat的安裝目錄下創(chuàng)建cert目錄,并且將下載的全部文件拷貝到cert目錄中。如果申請(qǐng)證書時(shí)是自己創(chuàng)建的CSR文件,附件中只包含214068026470389.pem文件,還需要將私鑰文件拷貝到cert目錄,命名為214068026470389.key;如果是系統(tǒng)創(chuàng)建的CSR,請(qǐng)直接到第2步。
到cert目錄下執(zhí)行如下命令完成PFX格式轉(zhuǎn)換命令,此處要設(shè)置PFX證書密碼,請(qǐng)牢記:
復(fù)制代碼 代碼如下:
openssl pkcs12 -export -out 214068026470389.pfx -inkey 214068026470389.key -in 214068026470389.pem
2、PFX證書安裝
找到安裝Tomcat目錄下該文件server.xml,一般默認(rèn)路徑都是在 conf 文件夾中。找到 <Connection port="8443" 標(biāo)簽,增加如下屬性:
keystoreFile="cert/214068026470389.pfx"
keystoreType="PKCS12"
#此處的證書密碼,請(qǐng)參考附件中的密碼文件或在第1步中設(shè)置的密碼
keystorePass="證書密碼"
完整的配置如下,其中port屬性根據(jù)實(shí)際情況修改:
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
keystoreFile="cert/214068026470389.pfx"
keystoreType="PKCS12"
keystorePass="您的證書密碼"
clientAuth="false" sslProtocol="TLS" />
重啟tomcat,用https訪問成功
關(guān)于異常: Connector attribute SSLCertificateFile must be defined when using SSL with APR
Tomcat提供了兩個(gè)SSL實(shí)現(xiàn),一個(gè)是JSSE實(shí)現(xiàn),另一個(gè)是APR實(shí)現(xiàn)。Tomcat將自動(dòng)選擇使用哪個(gè)實(shí)現(xiàn),即如果安裝了APR則自動(dòng)選擇APR,否則選擇JSSE。如果不希望讓Tomcat自動(dòng)選擇,而是我們自己指定一個(gè)實(shí)現(xiàn)則可通過protocol定義,如下:APR文件名為tcnative-1.dll。6.x里沒這個(gè)dll文件,而7.x里有。6.x沒有,6.x默認(rèn)使用JSSE實(shí)現(xiàn),而7.0默認(rèn)使用APR實(shí)現(xiàn)。弄明白緣由就好辦了。由于習(xí)慣使用6.0的配置方式(即JSEE實(shí)現(xiàn)),因此只要把conf\server.xml里的protocol的值修改一下就行了:
protocol="org.apache.coyote.http11.Http11Protocol"
以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。
