目錄
背景
在我這邊的項目中,https訪問是必須的,http無法滿足要求,需要安裝ssl證書。
申請很容易,阿里雲文檔很詳細,讓我們把關注點放在安裝上面。
因爲一鍵式https安裝需要付費,所以我們還是選擇傳統是證書安裝。選擇tomcat服務器。
pfx和jks是兩種不同的安裝形式,選擇一種就可以。這裏選擇pfx格式。
開始安裝。
一、前提條件
443端口在控制檯安全組裏面進行設置,能走到這一步,大家應該都會;
第二步OpenSSL工具安裝,這個鏡像已經默認安裝。如果大家不放心可以用openssl version -a查詢;
第三步就是前面已經下載到本地的證書,解壓到本地,先不要操作。
二、背景信息
這個很重要,他們是一tomcat7爲例介紹的,9稍有不同。
-
keytool -changealias -keystore domain name.pfx -alias alias -destalias tomcat
這裏的domain name是你下載的證書的名字,不是域名,前面應該還有個數字。
另一點是,這個命令要在證書和密碼所在的cert目錄下敲,回車後輸入證書密碼,那個txt文件。
三、操作
重點關注第3步。
我是把註釋內容改成了這樣,即訪問8080端口,映射到443端口
然後添加這些內容
<Connector port="443"
protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="/usr/local/java/tomcat9/cert/4054569_www.d-helix.cn.pfx"
keystorePass="1AQ9592x"
clientAuth="false"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
如下圖所示
這裏也就是https的443端口。
有些人這裏寫8443,或者上面一步寫8080映射到8443,那就是在訪問8080的時候,會跳轉成8443,。
這對我來說是沒有必要的,我沒有在安全組進行8443端口配置。
直接80映射到443.親測可用
第四步、http強制跳轉https
我認爲這一步很有必要,需要進行配置。
這一步沒有異議。
第五步、重啓tomcat
./shutdown.sh
./startup.sh
重啓之後可能會稍微等幾秒鐘。
也可以用
ps -ef|grep tomcat
查看運行狀態。
測試結果:
1、http強制轉爲https
2、https可訪問
3、8080端口號也不用填了