- 如果要配置https訪問,就是要安裝配置SSL證書。目的就是加強網站的安全性。
- 但是大部分SSL證書是要收費的!
- 福利來了,下將介紹如何使用最大SSL證書服務商的免費證書:賽門鐵克Symantec/Digicert
購買阿里雲的免費SSL證書賽門鐵克Symantec/Digicert
註冊登陸阿里雲 阿里雲證書購買
搜索:CA證書服務 或 SSL證書
立即開通>立即購買
選擇品牌Symantec>點擊增強型DV SSL>選擇免費型DV SSL(隱藏的好深)>購買>支付。
進入證書控制檯>點擊申請簽發證書>填寫申請信息,證書綁定你自己的域名:www.f8xn.top,等待申核。SSL證書:幾分鐘-幾小時左右可簽發。
域名授權驗證
RAM訪問控制,同意授權
授權系統自動添加TXT解析記錄,自動完成域名授權驗證(會在域名解析中自動增加一條txt記錄)。
數字證書有效期是在審覈通過之後的1年內有效。免費證書只參綁定一個域名。
omcat也可配置手動生成的SSL證書,這裏不再介紹。
SSL證書安裝/配置
Tomcat支持JKS格式證書,從Tomcat7開始也支持PFX格式證書。
審覈通過後到證書控制檯下載SSL證收, 包含PFX格式證書和密碼文件。
阿里雲的服務器,只支持端口443!,所以我們配置<Connector port="8443 />"節點時,填端口改成443。
並在阿里雲上面添加開放443端口,纔可以用https訪問Tomcat的網站(重點)。開放端口時選擇協議類型https443。
在你的tomcat目錄下,新建目錄/apache-tomcat-8/conf/cert,把你的證書_www..com.pfx拷貝進來。
修改server.xml
vim~~ /apache-tomcat-8/conf/cert/server.xml/apache-tomcat-
HTTP證書路徑keystoreFile建議使用絕對路徑8/conf/cert/_www.com.pfxyKmbolin~~。
證書密碼填寫剛纔pfx-password.txt裏的密碼keystorePass=
在protocol中建議使用“org.apache.coyote.http11.Http11Protocol”,這樣對性能有最大的優化。(但是這樣會不支持中文URIEncoding="UTF-8"。)
<Connector port="443"
protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="/apache-tomcat-8/conf/cert/***_www.***.com.pfx"
keystoreType="PKCS12"
keystorePass="yKmbolin"
clientAuth="false"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>保存退出。重啓tomcat即可。
/apache-tomcat-85/bin/shutdown.sh
/apache-tomcat-8/bin/startup.sh
打開測試 https://www.***.com
查看網站的安全證書,在開發者工具上
按F12>Security>View certificate。