tomcat系列-06-HTTPS支持-商用证书-openssl操作

[TOC]

前言

上一篇，我们介绍了tomcat启用https支持，只是是在私有CA下启用的。
私有CA除了平时自己练习或者内网使用外，想不出其他用途了。

现在我们介绍下，tomcat使用真正的商用证书来支持https。

1 环境准备

域名
- 本人这里是在阿里云买的域名
- 只要你想买的域名不是 google.com或在baidu.com这种白金次的话，一般都不贵吧……
- 域名备不备案在这里无所谓了
- 将域名解析到你自己的服务器
公网服务器
- 本人这里使用的是阿里云主机
- 得搞个公网主机，不然域名解析到哪里去呢？
https证书
- 本人这里使用的是https://startssl.com/颁发的免费证书
- 确实不错，免费的
- 证书申请有疑问？请移驾：https://www.oschina.net/translate/switch-to-https-now-for-free?cmp

2 申请证书

这部分没啥问题的道友，直接跳过吧……

为方便，以下操作都在 /soft/tomcat7-80/ssl目录执行

2.1 生成应用程序私钥

(umask;openssl genrsa -out tomcat.key 2048)
# 此处在子shell中执行，并将遮罩码设置为077，
# 以便生成的文件tomcat.key的mod==600

2.2 提交CSR到CA(startssl.com)

https://startssl.com/ 有两种方式来提交CSR：

自己生成CSR
通过IE浏览器

此处可以同keytool或者openssl来自己生成CSR。
本人这里选择自己用openssl工具生成(使用keytool的话也差不多的过程)：

# 生成证书请求保存至tomcat.csr
[root@hylexus ssl]# openssl req -new -key tomcat.key -out tomcat.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [ShangHai]:
Locality Name (eg, city) [ShangHai]:
Organization Name (eg, company) [KKBC]:
Organizational Unit Name (eg, section) [Tech]:
Common Name (eg, your name or your server's hostname) []:hylexus.top
Email Address []:hylexus@163.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@hylexus ssl]#

将自己的CSR内容粘贴到https://startssl.com/提供的输入框中即可：

startSSL提交csr

2.3 下载CA颁发的证书

申请结果：

申请结果

点击下载即可，本人这里hylexus.top.zip的压缩包,内容如下：

[root@hylexus https]# tree
.
├── ApacheServer.zip # apache/httpd的证书
├── IISServer.zip # IIS的证书
├── NginxServer.zip # Nginx的证书
└── OtherServer.zip # 其他服务器的证书，这里我们就使用这个了

3 配置tomcat支持HTTPS

这里我们使用从CA下载的OtherServer.zip文件中2_hylexus.top.crt文件为例，配置tomcat。
并将复制至：${catalina.home}/ssl/tomcat.crt

cp 2_hylexus.top.crt /soft/tomcat7-80/ssl/tomcat.crt
cp 1_Intermediate.crt /soft/tomcat7-80/ssl/ca.cert

# 此时的ssl目录
[root@hylexus ssl]# tree
.
├── ca.cert # CA自己的证书
├── tomcat.crt # 刚刚复制的CA颁发的证书
├── tomcat.csr # 证书申请请求文件,现在可以删了
└── tomcat.key # 应用程序私钥

3.1 基于APR-Connector

如何启用APR，可以参考本人另一篇文章：http://blog.csdn.net/hylexus/article/details/53137721

<Connector
     protocol="org.apache.coyote.http11.Http11AprProtocol"
     port="8443" maxThreads="200"
     scheme="https" secure="true" SSLEnabled="true"
     SSLCertificateFile="${catalina.base}/ssl/tomcat.crt"
     SSLCertificateKeyFile="${catalina.base}/ssl/tomcat.key"
     SSLVerifyClient="optional" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"/>

3.2 基于NIO、AIO-Connector

由于上面本人使用openssl工具生成的私钥，而基于NIO和BIO的Connector配置中HTTPS的支持必须依赖于java的标准keystore文件。
所以，现在有个麻烦的事就是将现成的私钥和证书导入到某个keystore中。
查了好久资料，终于找到方法了………………(keytool并没有直接提供这个功能^)

keytool的使用示例可以参考：http://blog.csdn.net/hylexus/article/details/53145973

1. 将私钥和证书导入keystore

借助于openssl工具实现转换,注意记住以下操作要求你输入的密码哦:

# ks.p12这中格式的输出文件可以当做一个keystore来用
openssl pkcs12 -export -name tmp -in tomcat.crt -inkey tomcat.key -out ks.p12

# 从ks.p12这个非标准的keystore导入到新的keystore：ks
keytool -importkeystore -destkeystore ks -srckeystore ks.p12 -srcstoretype pkcs12 -alias tmp

此时的ssl目录

[root@hylexus ssl]# tree
.
├── ks # 刚刚转换生成的keystore
├── ks.p12 # 临时的非标准的keystore,现在可以删了
├── tomcat.crt # 当前配置下可删除
├── tomcat.csr # 当前配置下可删除
└── tomcat.key # 当前配置下可删除


# 以上标注了"当前配置下可删除"的三个文件,
# 在非APR类型的Connector下这个文件是没啥用处的
# 因为私钥和证书都在keystore文件ks中了

1. 配置server.xml

NIO-Connector配置

<Connector
       protocol="org.apache.coyote.http11.Http11NioProtocol"
       port="8443" maxThreads="200"
       scheme="https" secure="true" SSLEnabled="true"
       keystoreFile="${catalina.home}/ssl/ks" keystorePass="123456"
       clientAuth="false" sslProtocol="TLS"/>

BIO-Connector配置

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
           connectionTimeout="20000" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="${catalina.home}/ssl/ks" keystorePass="123456"
           />

4 效果预览

效果预览

再也没有那个恶心的警告了^_

参考文章

https://www.oschina.net/translate/switch-to-https-now-for-free?cmp

最后编辑于：2017.12.04 10:37:51

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 204,732评论 6赞 478
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 87,496评论 2赞 381
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 151,264评论 0赞 338
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 54,807评论 1赞 277
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 63,806评论 5赞 368
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 48,675评论 1赞 281
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 38,029评论 3赞 399
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 36,683评论 0赞 258
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 41,704评论 1赞 299
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 35,666评论 2赞 321
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 37,773评论 1赞 332
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,413评论 4赞 321
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 39,016评论 3赞 307
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 29,978评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 31,204评论 1赞 260
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 45,083评论 2赞 350
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,503评论 2赞 343