Apache Tomcat是一款优秀的Java Web容器,对于各个站长来说,可以很方便的使用Tomcat将自己的网站博客放在公网的服务器上,分享自己的心得以及个人博客。
那么在公网中的访问,没有被第三方公认可信的机构加密时,会默认使用Http协议,以明文将自己的网站在公网上传输。这对于大部分领域都没关系,但是对于某些敏感的数据,甚至机密需要保护的数据,例如:银行卡号、银行密码、手机验证码之类的信息,一旦被别有用心的人在中途使用抓包工具拦截,那么将会导致不可设想的后果。
那么网站需要使用SSL(Secure Sockets Layer),顾名思义,安全的套接字层。通过这层提供的保障,在SSL上面运行的应用都可以安全传输。
本文第二部分介绍如果获取免费的证书,第三部分介绍如何用已有的证书在Tomcat中配置,使得Https能够运作,最后一部分介绍,如何在浏览器中输入地址,自动由Http转发到Https上,有需要的读者可以根据需要跳过相应部分。
2.获取证书对于Https的证书,相当于是在传输过程中加入了第三方的验证机制,简称CA(Certificate Authority),确保传输的安全性。对于大部分证书,签发是需要一定的费用的,本段落主要介绍免费的证书提供方:FreeSSL
具备SSL免费证书申请的前提是,先得有一个域名,没有域名的用户可以先移步阿里云或者腾讯云等域名交易网站购买域名,本例中,我使用自己的已有域名:letcafe.cn作为样例
下面介绍如何获取免费域名Https证书
步骤1、输入你所购买的域名
步骤2、选项默认,如果没特殊需求按步骤填入邮箱后创建:
步骤3、创建完成后,等待几秒后,将会生成一个域名解析DNS的验证环节。对此,需要您去域名供应商网站添加解析,例如,我是用的是阿里云,我在:阿里云->控制台->域名与网站,找到对应的域名添加解析
解析示意图如下:
解析添加完成后,等待将近一分钟,可以回到FreeSSL验证DNS,单击“点击验证”按钮后,将会返回你的CA证书以及公钥
然后点击证书下载,即可获得带有full_chain.pem的文件以及叫private.key的私钥,到此,免费的证书已经申请完毕,下一步将Tomcat的对应内容加入HTTPS
3.配置Tomcat 3.1 生成jks文件由于Tomcat证书不支持直接使用pem + 私钥的方式,因此,需要多一步使用Openssl将full_chain.pem+private.key转换为jks的步骤,首先将full_chain.pem和private.key上传至服务器的任何目录,我存放的目录是:/root/apache-tomcat-ssl,如下图:
随后使用如下命令,在当前目录下生成一个名为freeSSL.jks的文件,如果使用不了如下命令,尝试考虑升级Openssl到最新版本:
openssl pkcs12 -export -out /root/apache-tomcat-ssl/freeSSL.jks -in ./full_chain.pem -inkey ./private.key