tomcat配置https(无CA证书)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了tomcat配置https(无CA证书)相关的知识,希望对你有一定的参考价值。

参考技术A 1、使用jdk自带的工具生成tomcat自签名证书 tomcat.keystore

这里主要要注意两个:
(1)、密码,后面再tomcat的server.xml中配置会用到
(2)、姓名,这里指域名,因为没有域名,所以我随便设置了一个,然后在host中配置使其转向localhost

2、我用的是IDEA,在项目中配置https端口

3、因为tomcat https默认会转向8443端口,所以需要在tomcat的server.xml中配置刚才的证书与密码

4、启动服务,就可以使用https访问了

为什么要测试https呢,哈哈,因为项目需要使用websocket长连接来做通知,我需要测试下websocket的wss连接

建立wss连接成功!(这里需要注意我这种配置的无CA证书的自签名证书,可能会报 SSL errors,我把这个错误手动忽略了,如果是在生产上有CA证书也不会出现错误)

Nginx配置https-免费自签名CA证书

一、为nginx配置https并自签名证书
1、制作CA证书
ca.key CA私钥:
openssl genrsa -des3 -out ca.key 2048
制作解密后的CA私钥(一般无此必要):
openssl rsa -in ca.key -out ca_decrypted.key
ca.crt CA根证书(公钥):
openssl req -new -x509 -days 7305 -key ca.key -out ca.crt
2、制作生成网站的证书并用CA签名认证
在这里,假设网站域名为blog.creke.net
生成blog.creke.net证书私钥:
openssl genrsa -des3 -out blog.creke.net.pem 2048
制作解密后的blog.creke.net证书私钥(注意:nginx配置中,nginx支持的是解密后的格式):
openssl rsa -in blog.creke.net.pem -out blog.creke.net.key
生成签名请求:
openssl req -new -key blog.creke.net.pem -out blog.creke.net.csr
common name中填入网站域名,如blog.creke.net即可生成该站点的证书,同时*也可以使用泛域名如.creke.net来生成所有二级域名可用的网站证书
用CA进行签名:
openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in blog.creke.net.csr -out blog.creke.net.crt
其中,policy参数允许签名的CA和网站证书可以有不同的国家、地名等信息,days参数则是签名时限。
如果在执行签名命令时,出现
“I am unable to access the ../../CA/newcerts directory”
修改/etc/pki/tls/openssl.cnf中“dir = ./CA”
然后:
mkdir -p CA/newcerts
touch CA/index.txt
touch CA/serial
echo "01" > CA/serial
再重新执行签名命令。
最后,
把ca.crt的内容粘贴到blog.creke.net.crt后面。这个比较重要!**因为不这样做,可能会有某些浏览器不支持。
好了,现在https需要用到的网站私钥blog.creke.net.key和网站证书blog.creke.net.crt都准备完毕。接下来开始配置服务端。

二、配置nginx
server {
listen 443 ssl;
server_name blog.creke.net;
keepalive_timeout 70;

ssl_certificate     blog.creke.net.crt;  //网站证书存放的路径
ssl_certificate_key blog.creke.net.key;  //网站私钥存放的路径
ssl_session_cache   shared:SSL:10m;
ssl_session_timeout 5m;

ssl_protocols       TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers         HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
...

}

三、检测配置和重新加载nginx配置
检测配置:
nginx -t
重新加载:
nginx -s reload

四、QA
有时候,会发现,在phpMyAdmin等程序登入后会错误地跳转http的问题。解决方法是定位至“location ~ .*.(php|php5)?${}”在include fcgi.conf;或者在fastcgi_param配置后面加上:
fastcgi_param HTTPS on;
fastcgi_param HTTP_SCHEME https;
在这里是nginx官方的关于https的文档,可以作为参考。

以上是关于tomcat配置https(无CA证书)的主要内容,如果未能解决你的问题,请参考以下文章

tomcat7下对HTTPS的部署配置

Windows tomcat配置SSL证书

Nginx配置https-免费自签名CA证书

tomcat配置https协议

用keytool制作证书并在tomcat配置https服务

tomcat使用jks配置https