tomcat配置https后，访问网站出现https网站不受信任

Posted 2023-04-28

在我安装的jdk bin目录下,输入命令keytool -genkey -alias tomcat -keyalg RSA生成一个.keystore文件然后生成相关的cer证书并导入cer证书,最后拷贝.keystore到tomcat的confg目录下,配置server.xml中的https配置模块,加入keystoreFile和keystorePass,重新启动tomcat,然后输入https://localhost:8443,但是却提示我的https的证书是不受信任,证书错误,要我确认才可以访问https连接,请问,该如何处理这个问题？
补充下，上面写错了，访问的链接的域名,是我生成.ketstore文件时输入的域名

　　在安装https证书的时候如果出现https证书不被信任的情况，首先要找到原因，然后根据相应的原因来解决问题。https证书的不被信任就代表安全性出现问题，所以能够对症解决才能保证网站后期运营的安全问题。
　　首先考虑的就是https证书过期
　　网络https证书跟我们的纸质https证书一样，他都会有一个有效期限，如果过了这个有效期限就要去重新下载或者申请有效的https证书，如果网站出现https证书不被信任首先想到的就是https证书过期的问题。如果是新下载的https证书链，那么就可以排除这个原因。就不要在这个问题上逗留，可以考虑是下一个原因造成的。
　　其次就是https证书的来源出了问题
　　如何信任网页https证书中很重要的一个问题就是提供https证书的机构是不是被信任的，如果本身他所提供的https证书就是不被网络信任的，那么即使我们安装的步骤再正确也是没有任何的意义，同时出现一个兼容的问题，那就是如果不是同一个公司开发的软件和https证书，那么本身就会被设置成为不信任的模式。如何信任网页https证书的最好办法就是从源文件中进行https证书的下载，与网站开发保持一致。
　　然后就是系统的识别问题
　　这种https证书不被信任的情况主要是发生在系统过于老旧的情况上，毕竟很多的系统在最初的状态下是没有那些新https证书的存在，所以https证书在进行确认的时候属于超出他的识别范围，自然会被不信任。在https证书安装不被信任的时候，可以检查一下电脑的基础配置，通过升级系统来确定能不能解决不被信任的问题。
　　最后一个就是https证书的不完整
　　这种情况经常发生，很多https证书在进行下载的时候因为各种原因会出现不完整的情况，最好的解决方式就是重新下载完整的https证书就可以了。
　　https证书安装不被信任的情况基本上都是由上述这些原因所造成的，所以只要按照上面的方法进行更改找出确定的原因就能解决这个https证书不被信任的问题。 参考技术A 一、安装了自签发的证书不会被浏览器信任。
二、CA机构签发信任证书，需要淘宝：Gworg SSL 办理CA信任证书。
三、tv.firmname.cn/kuso/index.jsp 安装证书是正确的，没有问题。本回答被提问者和网友采纳 参考技术B 去阿里云认证你的信息，办理受信任的证书

Tomcat配置HTTPS及访问HTTP自动跳转到HTTPS

配置TOMCAT服务器

（1）    如果你是在Windows环境中生成证书文件，则需要将生成的证书tomcat.keystore拷贝到Tomcat将要引用的位置，假设tomcat的应用证书的路径是“/etc/tomcat.keystore”，则需要将证书文件拷贝到“etc/”下；如果是在Linux环境按照上述介绍的步骤生成证书文件的话，此时证书文件已经在“etc/”下。

（2）    配置Tomcat，打开$CATALINA_HOME/conf/server.xml，修改如下，

<Connector port="8080" protocol="HTTP/1.1"

               connectionTimeout="20000"

               redirectPort="8443" />

修改参数=>

<Connector port="80" protocol="HTTP/1.1"

               connectionTimeout="20000"

               redirectPort="443" />

 

<!--

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

              maxThreads="150" scheme="https" secure="true"

              clientAuth="false" sslProtocol="TLS"/>

 -->

去掉注释且修改参数=>

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat.keystore" keystorePass="www.gbcom.com.cn"/>

注释：标识为淡蓝色的两个参数，分别是证书文件的位置和<tomcat>的主密码，在证书文件生成过程中做了设置

<!--

   <Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" />

-->

修改参数=>

<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" />

(3) 打开$CATALINA_HOME/conf/web.xml，在该文件末尾增加：

2.强制https访问

在tomcat\\conf\\web.xml中的</welcome-file-list>后面加上这样一段：

Java代码

    1. <login-config>

    2. <!-- Authorization setting for SSL -->

    3. <auth-method>CLIENT-CERT</auth-method>

    4. <realm-name>Client Cert Users-only Area</realm-name>

    5. </login-config>

    6. <security-constraint>

    7. <!-- Authorization setting for SSL -->

    8. <web-resource-collection >

    9. <web-resource-name >SSL</web-resource-name>

    10. <url-pattern>/*</url-pattern>

    11. </web-resource-collection>

    12. <user-data-constraint>

    13. <transport-guarantee>CONFIDENTIAL</transport-guarantee>

    14. </user-data-constraint>

    15. </security-constraint>

3、上述配置完成后，重启TOMCAT后即可以使用SSL。IE地址栏中可以直接输入地址不必输入“http://” 或者 “https://” ；也可以输入 “http:// ” 会跳转成为 “https://” 来登录