Java Tomcat中SSL配置步骤

在Java Tomcat中配置SSL（Secure Sockets Layer）以确保Web应用的安全性是一个重要的步骤。以下是详细的配置步骤：

准备工作

1. 获取SSL证书：

• 可以自签名证书，也可以从认证机构（如Let’s Encrypt）获得有效的SSL证书。
• 如果使用自签名证书，需要生成密钥库和证书签名请求（CSR），然后使用密钥库生成证书。

2. 安装OpenSSL工具（如果尚未安装）。

3. 下载Tomcat服务器所需的证书文件。

配置步骤

1. 解压证书文件：

• 将下载的证书文件解压，通常会得到两个文件：证书文件（如 domain name.pfx）和密码文件（如 pfx-password.txt）。

2. 创建cert目录并拷贝证书文件：

• 在Tomcat安装目录下新建 cert 目录，将解压的证书和密码文件拷贝到该目录下。

3. 修改 server.xml 配置文件：

• 打开Tomcat安装目录下的 conf/server.xml 文件。
• 找到以下 <Connector> 标签并修改：

<!-- 注释掉原来的Connector -->
<!--
<Connector port="8443" protocol="HTTP/1.1" port="8443" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS"/>
-->

<!-- 添加新的Connector用于HTTPS连接 -->
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/path/to/your/keystore.jks" keystorePass="your_keystore_password" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

• 请根据实际情况修改 port、keystoreFile 和 keystorePass 属性。

4. 可选：配置 web.xml 文件：

• 在 conf/web.xml 文件中添加以下内容，以开启HTTP强制跳转HTTPS：

<login-config>
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
    <web-resource-collection>
        <web-resource-name>Secure Area</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

5. 重启Tomcat服务器：

• 保存并关闭 server.xml 文件。
• 使用以下命令重启Tomcat：

./bin/shutdown.sh
./bin/startup.sh

或者（对于Windows系统）：

catalina.bat stop
catalina.bat start

验证配置

• 通过浏览器访问 https://yourdomain.com（用你的实际域名替换），如果页面正常加载且显示为安全连接，则说明SSL配置成功。

以上步骤应该能够帮助你在Java Tomcat中成功配置SSL。如果在配置过程中遇到问题，请检查日志文件以获取更多信息，并确保所有路径和文件名都是正确的。