主页 / 问题 / 873369
Accepted
ЮрийСПб
Asked:2020-08-26 02:26:41 +0000 UTC2020-08-26 02:26:41 +0000 UTC

如何在 Debian 上为 Tomcat 启用 SSL 证书

  • 772

鉴于:

带有证书的上的

一个任务:

您需要连接证书才能通过上的应用程序,同时保持访问的能力。

问题:

那么应该怎么做呢?

linux

1 个回答

  1. Best Answer

    我们需要3 个文件形式的证书信息:

    domain_name.crt private.key chain.crt

    您可以在文本编辑器中手动创建它们并将有关证书的信息放入其中。

    假设它们在文件夹中/path/to/p12然后我们可以通过这样的程序从他们那里得到一个带有扩展名的文件openssl

    openssl pkcs12 -export -in /path/to/domain_name.crt -inkey /path/to/private.key -out mycert.p12 -name tomcat -CAfile /path/to/chain.crt -caname root -chain

    mycert.p12我们需要提供给的实际文件在哪里,其余的是证书文件。该程序将提示您设置密码,然后您需要在设置中指定该密码。

    例如,生成的文件必须放在用户的主文件夹tomcat/usr/share/tomcat8/。在设置(文件var/lib/tomcat8/conf/server.xml)中注册其使用后:

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
       maxThreads="200" SSLEnabled="true"
       scheme="https" secure="true"
       clientAuth="false" sslProtocol="TLS"

       keystoreType="PKCS12"
       keystoreFile="${user.home}/mycert.p12"
       keystorePass="password"
       truststoreType="PKCS12"
       truststoreFile="${user.home}/mycert.p12"
       truststorePass="password"
       />

    为了能够同时访问,您还需要在文件var/lib/tomcat8/conf/web.xml末尾写下:

    <security-constraint>
  <web-resource-collection>
    <web-resource-name>Support Both HTTP and HTTPS</web-resource-name>
    <url-pattern>/*</url-pattern>
  </web-resource-collection>
  <user-data-constraint>
    <!-- <transport-guarantee>CONFIDENTIAL</transport-guarantee> -->
  </user-data-constraint>
</security-constraint>

    在这里重要的是注释掉该行<transport-guarantee>CONFIDENTIAL</transport-guarantee>或指定NONE而不是CONFIDENTIAL

    一切。现在您可以通过访问运行在上的应用程序。同时,你需要去不是通过端口,而是通过.80808443

    如果你需要一个pfx文件,那么你可以像这样生成它:

    openssl pkcs12 -export -out bundle.pfx -inkey privkey.pem -in cert.pem -certfile chain.pem -password pass:password
    • 2

相关问题