Tomcat:配置SSL

时间:2023-04-24 19:02:44

SSL简述

SSL就是安全套接字层,是一种允许web浏览器和 web服务器通过安全连接通信的技术。这是一个双向的过程,这意味着 服务器和浏览器在发送数据之前加密所有交流的数据。

SSL有一个重要的特点,就是需要认证。也就是说当使用Web浏览器访问Server时,Server会提供给浏览器一个证书。

在使用tomcat时,存在下面几种情况:

1)默认情况下,是不启用SSL的,通过https协议访问应用肯定是失败的。

2)只启用SSL时,只能通过https协议来访问。(这里不说AJP)

3)同时启用HTTP,HTTPS,就可以通过HTTP与HTTPS同时访问了。

生成keystore

证书是需要有密钥库来支撑,KeyStore文件就代表了密钥库。Key文件有多种形式,目前Tomcat支持的keystore有:JKS,PKCS11,PKCS12。其中JKS是java keystore,是由java实现的,可以通过jdk/bin/keytool工具创建keystore文件。PKCS12是一个网络标准,可以通过OpenSSL、Microsoft的Key-Manager来管理。

下面就使用JKS来作用密钥库格式。

Tomcat:配置SSL

-keyalg是生成公钥、私钥的算法。常用的有RSA、DSA等。

使用上述使用时密码必须是一致的,这一点是Tomcat要求的。其中第一个密码是keystore文件的密码,访问这个文件需要有密码的,最后的密码是生成的key的密码。

生成的keystore文件的位置,默认是在${user.home}/.keystore,如果想要改变位置,可以使用命令:

Tomcat:配置SSL

在server.xml配置SSL

Tomcat:配置SSL

KeystorePass就是keystore文件的访问密码。你可以修改为其它的。

keystoreFIle就是keystore文件的位置,让tomcat启动时找到密钥库。

测试

测试1:只启用HTTPS,不启用HTTP

在server.xml中,为8080端口的Connector加上注释,并且去掉8443端口的Connector的注释。然后启动tomcat。

分别通过http\https访问docs:

http://localhost:8080/docshttps://localhost:8443/docs

结果:只有https可以访问。

测试2:HTTP、HTTPS同时启用

在server.xml中,去掉8080、8443端口的Connector的注释然后启动tomcat。

分别用http\https访问docs:

http://localhost:8080/docshttps://localhost:8443/docs

结果:两者都可正常访问。

redirectPort作用

先看看tomcat官方文档是如何解释的:

If this Connector is supporting non-SSL requests, and a request is received for which a matching <security-constraint> requires SSL transport, Catalina will automatically redirect the request to the port number specified here.

  如果当前的connector支持非SSL请求(也就是可以以http方法访问),并且请求的资源与web.xml中<security-constraint>中指定的url匹配时,Catalina就会自动的将请求重写向到redirectport指定端口。redirectport配置是SSL connector的端口。

security-constraint 下配置的url是用于对访问者进行身份认证的配置,怎么又与SSL有关了呢?

带着这个疑问,来看看oracle官方文档中关于web.xml描述:

Tomcat:配置SSL

> web-resource-collection是配置url的。

> auth-constraint是配置身份认证的。

> user-data-constraint是用于定义客户端与server通信时对数据的处理方式。

下面是user-data-constrain下的子元素:

Tomcat:配置SSL

Transport-guarantee 值中涉及到SSL的有2个:integral、confidential:

Integral:要求client与server之间传输的数据不能被篡改。

Confidential:要求client与server之间传输的数据会被转换,不能够直接看到原始内容。