文章目录
Tomcat下配置HTTPS
Tomcat核心功能还是作为Java的容器来运行Java后端代码,虽然内置了对HTTP请求的支持,但并不是最优选择,通常部署时,会在Tomcat前面加一个专用的Http服务器,例如Nginx或Apache
一、关键目录信息
1.logs目录
(1)catalina.out
Tomcat运行过程中的终端输出,可以看到错误信息从而定位问题
当Tomcat启动之后占用了后台进程,其过程中遇到的报错或请求信息输出都会在本文件中存储
我们可以使用
tail -f catalina.out
进行实时查看文件信息变更
(2)localhost_access_log.2024-01-20.txt
该文件是Tomcat中的访问日志存储文件,其中存储的全都是外部访问的信息。在Linux上 Tomcat 8.0 默认是打开的,可以手工关闭,但不建议关闭,可用于取证溯源
其中内容大致如图所示,记录了来访客户端的IP地址,以及该客户端都访问了那些内容
我们可以使用
tail -f localhost_access_log.2024-01-20.txt
来实时观测文件信息变更
(3)/opt/apache-tomcat-8.0.53/conf/server.xml
该文件属于Tomcat的核心配置文件,其中当然也包含了日志配置信息
按下shift+G即可到达文本最后
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log" suffix=".txt"
pattern="%h %l %u %t "%r" %s %b" />
2./opt/apache-tomcat-8.0.53/conf/server.xml
这是Tomcat的核心配置文件
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
这是http服务开启的端口配置,8080是http的默认端口,8443是https的默认端口
<!--
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
-->
配置 HTTPS 的基本信息,在互联网上,HTTP必须是80,HTTPS必须是443,这样才不需要再URL地址中加端口号,其他的都需要明确指定
<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
这是当在Tomcat前另加一个处理HTTP请求的Apache服务器时所用的配置
其中AJP表示用于将HTTP的请求需要Tomcat容器(Java)处理的部分,交给Java来处理
二、Tomcat配置HTTPS
1.基础
- HTTP协议是全程明文,所以非常不安全
- HTTP(应用层)+ TCP(传输层) 之间加了一层 SSL(TLS),将HTTP协议进行加密再传输
- HTTPS的公网上传输:公钥+私钥进行加密,客户端或浏览器可信证书(CA机构颁发)
- 安全和性能不可得兼
- 局域网内部配置:(无法取得公网浏览器的信任,现实情况不可用)
(1)HTTP协议明文传输
全过程都是明文,没有一点秘密可言
(2)HTTPS对称加密传输
一般情况下HTTPS协议使用的是对称密钥加密传输,当然,这个对称也不是言语上的对称
事实上,客户端会生成一个随机秘钥,然后利用该随机秘钥对所要传输的数据进行加密,然后客户端利用自己的公钥对随机秘钥进行加密,然后client将加密后的随机秘钥和数据一起发送给服务器,服务器利用client的证书可以解开随机秘钥,然后再利用随机秘钥解开数据信息
(3)HTTPS非对称加密传输
在这里我们将程度比作client,上海比作服务器,传输数据比作发快递
客户端对要发送的数据进行加密,发送给服务器。此时服务器无法解密,于是服务器自己也加密一次又发送给客户端。此时客户端对自己的加密解开然后再发送给服务器,此时数据上就只剩下上海自己的加密了
这只是大致的意思,具体信息还没学到…
2.配置
- 进入jdk执行目录,如果应将jdk环境变量添加好了就可以不需用这一步
cd /usr/java/jdk/bin
- 输入指令:
keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "/opt/tomcat.keystore"
执行之后会出现以下信息,跟着问题做就行了
输入密钥库口令:
再次输入新口令:
您的名字与姓氏是什么?
[Unknown]: ymq
您的组织单位名称是什么?
[Unknown]: youdian
您的组织名称是什么?
[Unknown]: youdian
您所在的城市或区域名称是什么?
[Unknown]: xian
您所在的省/市/自治区名称是什么?
[Unknown]: shanxi
该单位的双字母国家/地区代码是什么?
[Unknown]: cn
CN=ymq, OU=youdian, O=youdian, L=xian, ST=shanxi, C=cn是否正确?
[否]: y
输入 <tomcat> 的密钥口令
(如果和密钥库口令相同, 按回车):
再次输入新口令:
Warning:
JKS 密钥库使用专用格式。建议使用 "keytool -importkeystore -srckeystore /opt/tomcat.keystore -destkeystore /opt/tomcat.keystore -deststoretype pkcs12" 迁移到行业标准格式 PKCS12。
此时我们就可以看到该目录下多了一个证书文件
但是上述信息给出了warning,我们看看,他说要我们使用这条命令来迁移什么什么,ok
也就是再执行一次,然后备份了一下证书文件
- 进入 /opt/apache-tomcat-8.0.53/conf/server.xml
取消https配置的注释,并且在下面添上两个配置
keystorefile="/opt/tomcat.keystore" keystorePass="p-0p-0p-0"
使得完整信息如下
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystorefile="/opt/tomcat.keystore" keystorePass="p-0p-0p-0" />
由
变为
- 重启Tomcat
/opt/apache-tomcat-8.0.53/bin/shutdown.sh
/opt/apache-tomcat-8.0.53/bin/startup.sh
现在我们去尝试使用https访问woniusales
好家伙还是访问不了,想想问题,防火墙开没开,端口访问改没改
firewall-cmd --add-port=8443/tcp --permanent
firewall-cmd --add-service=https --permanent
systemctl restart firewalld
虽然我们电脑上还是访问不了(大概率是因为现在浏览器都比较高级,非权威机构发行的证书是不被浏览器允许的),但是Tomcat上配置HTTPS基本流程就是这样
三、公网
1.公网需要一个固定的IP地址:购买一台云服务器,即可获得一个固定IP
2.建议最好注册一个域名,然后去通管局备案(否则不允许用域名访问)
3.将该域名解析到IP地址,即可实现域名访问,否则只能使用IP访问
版权归原作者 YhMjQx 所有, 如有侵权,请联系我们删除。