1.概述

Apache Tomcat是一款優(yōu)秀的Java Web容器，對于各個站長來說，可以很方便的使用Tomcat將自己的網(wǎng)站博客放在公網(wǎng)的服務(wù)器上，分享自己的心得以及個人博客。

那么在公網(wǎng)中的訪問，沒有被第三方公認(rèn)可信的機(jī)構(gòu)加密時，會默認(rèn)使用Http協(xié)議，以明文將自己的網(wǎng)站在公網(wǎng)上傳輸。這對于大部分領(lǐng)域都沒關(guān)系，但是對于某些敏感的數(shù)據(jù)，甚至機(jī)密需要保護(hù)的數(shù)據(jù)，例如：銀行卡號、銀行密碼、手機(jī)驗(yàn)證碼之類的信息，一旦被別有用心的人在中途使用抓包工具攔截，那么將會導(dǎo)致不可設(shè)想的后果。

那么網(wǎng)站需要使用SSL（Secure Sockets Layer）,顧名思義，安全的套接字層。通過這層提供的保障，在SSL上面運(yùn)行的應(yīng)用都可以安全傳輸。

本文第二部分介紹如果獲取免費(fèi)的證書，第三部分介紹如何用已有的證書在Tomcat中配置，使得Https能夠運(yùn)作，最后一部分介紹，如何在瀏覽器中輸入地址，自動由Http轉(zhuǎn)發(fā)到Https上，有需要的讀者可以根據(jù)需要跳過相應(yīng)部分。

2.獲取證書

對于Https的證書，相當(dāng)于是在傳輸過程中加入了第三方的驗(yàn)證機(jī)制，簡稱CA（Certificate Authority），確保傳輸?shù)陌踩浴τ诖蟛糠肿C書，簽發(fā)是需要一定的費(fèi)用的，本段落主要介紹免費(fèi)的證書提供方：FreeSSL

官方地址：https://freessl.org/

具備SSL免費(fèi)證書申請的前提是，先得有一個域名，沒有域名的用戶可以先移步阿里云或者騰訊云等域名交易網(wǎng)站購買域名，本例中，我使用自己的已有域名:letcafe.cn作為樣例

下面介紹如何獲取免費(fèi)域名Https證書

步驟1、輸入你所購買的域名

步驟2、選項(xiàng)默認(rèn)，如果沒特殊需求按步驟填入郵箱后創(chuàng)建：

步驟3、創(chuàng)建完成后，等待幾秒后，將會生成一個域名解析DNS的驗(yàn)證環(huán)節(jié)。對此，需要您去域名供應(yīng)商網(wǎng)站添加解析，例如，我是用的是阿里云，我在：阿里云->控制臺->域名與網(wǎng)站，找到對應(yīng)的域名添加解析

解析示意圖如下：

解析添加完成后，等待將近一分鐘，可以回到FreeSSL驗(yàn)證DNS，單擊“點(diǎn)擊驗(yàn)證”按鈕后，將會返回你的CA證書以及公鑰

然后點(diǎn)擊證書下載，即可獲得帶有full_chain.pem的文件以及叫private.key的私鑰，到此，免費(fèi)的證書已經(jīng)申請完畢，下一步將Tomcat的對應(yīng)內(nèi)容加入HTTPS

3.配置Tomcat

3.1 生成jks文件

由于Tomcat證書不支持直接使用pem + 私鑰的方式，因此，需要多一步使用Openssl將full_chain.pem+private.key轉(zhuǎn)換為jks的步驟，首先將full_chain.pem和private.key上傳至服務(wù)器的任何目錄，我存放的目錄是：/root/apache-tomcat-ssl，如下圖：

隨后使用如下命令，在當(dāng)前目錄下生成一個名為freeSSL.jks的文件，如果使用不了如下命令，嘗試考慮升級Openssl到最新版本：

命令過程中會要求輸入keystore密碼，兩次確保一致，并記住該密碼，為了演示，我輸入的密碼為：123456（產(chǎn)品環(huán)境下，請確保安全換成其他復(fù)雜密碼）

3.2 配置server.xml

編輯Tomcat目錄下的server.xml文件，文件路徑位于：$CATALINA_HOME/conf/server.xml，取決于你的Tomcat安裝在何處。

在Connector中，添加如下Connector：

代碼附上：

這一步中的keystoreFile填寫之前使用Openssl生成的jks文件，keystorePass使用之前輸入的密碼。

<Connector
 protocol="org.apache.coyote.http11.Http11NioProtocol"
 port="443" maxThreads="200"
 scheme="https" secure="true" SSLEnabled="true"
 keystoreFile="/root/apache-tomcat-ssl/freeSSL.jks" keystorePass="123456"
 clientAuth="false" sslProtocol="TLS"/>

此外，為了將Tomcat監(jiān)聽80端口，并將HTTPS請求轉(zhuǎn)發(fā)到443端口（443為SSL默認(rèn)端口），還需要將server.xml文件中原有的Connector修改為如下：

將port="8080"改為port="80",redirectPort="8443"改為redirectPort="443"

修改好，保存退出，重啟Tomcat,在公網(wǎng)上訪問輸入地址:letcafe.cn，發(fā)現(xiàn)雖然：

通過輸入https://letcafe.cn。實(shí)現(xiàn)了網(wǎng)站上的小鎖顯示了

但是輸入letcafe.cn后，卻失去了Https的加密：

但是，不能用戶每次都去手敲HTTPS對不對，此時的Tomcat是會對默認(rèn)繼續(xù)使用HTTP，所以如果需要將該域名下的所有訪問都走HTTPS加密的話，需要將所有對Tomcat的THHP訪問都默認(rèn)轉(zhuǎn)發(fā)給HTTPS的訪問，實(shí)現(xiàn)不管輸入letcafe.cn還是https://letcafe.cn都訪問的是HTTPS（如果沒有此需求，可不需要下一步）

4.轉(zhuǎn)發(fā)Http請求到Https

這一步非常簡單，編輯$CATALINA_HOME/conf/web.xml文件，在其中添加如下代碼：

代碼如下：

<!-- 增加所有網(wǎng)址自動跳轉(zhuǎn)https -->
 <security-constraint>
  <web-resource-collection>
    <web-resource-name >SSL</web-resource-name>
     <url-pattern>/*</url-pattern>
    </web-resource-collection>
   <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
   </user-data-constraint>
 </security-constraint>

保存后重啟Tomcat，即可完成目標(biāo)

5.訪問測試

在瀏覽器中輸入：letcafe.cn或者h(yuǎn)ttps://letcafe.cn或者h(yuǎn)ttp://letcafe.cn都可以實(shí)現(xiàn)訪問定向到https://letcafe.cn中

6.可能會遇到的問題

如果訪問不了確認(rèn)如下問題是否解決：

1.防火墻是否開放端口，CentOS中是firewalld，是否添加了443和80端口

解決方案：添加端口并重載防火墻規(guī)則命令如下：

firewall-cmd --zone=public --add-port=80/tcp --permanent
firewall-cmd --zone=public --add-port=443/tcp --permanent
firewall-cmd --reload

查看服務(wù)器已對外開放端口命令，確認(rèn)是否已放通80與443端口：

firewall-cmd --zone=public --list-ports

2.云服務(wù)提供商的攔截規(guī)則時候設(shè)置開放端口，例如：

阿里云->控制臺->云服務(wù)器ECS->你的服務(wù)器->更多->安全組配置

配置規(guī)則中，加入80和443端口的開放，具體配置參照阿里云文檔，騰訊云等其他服務(wù)商也類似，需要在服務(wù)器端先開放云服務(wù)商的攔截配置。

配置HTTPS踩了一些坑，希望能分享幫到他人，如有疑問，歡迎留言！

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。