HTTP與HTTPS的區別:HTTP協議傳輸的數據都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私信息非常不安全,為了保證這些隱私數據能加密傳輸,於是網景公司設計了SSL(Secure Sockets Layer)協議用於對HTTP協議傳輸的數據進行加密,從而就誕生了HTTPS。簡單來說,HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,要比http協議安全。
小程序訪問的域名配置必須是配置ssl證書的合法域名,現在阿里雲上買了個域名,備案過了,也申請了免費的ssl 證書,下載了tomcat的證書文件。下面是記錄配置過程:
下載的證書文件,解壓后是這個樣子:只有兩個文件的,一個是pfx格式的證書,一個是密碼文本。
一、使用java jdk將PFX格式證書轉換為JKS格式證書
在命令行界面輸入以下代碼:
1.切換到證書解壓文件 的路徑:
pushd F:\1569577_wwwXXXX_tomcat
(這是我的文件路徑)
2.使用命令:
keytool -importkeystore -srckeystore 你的證書名稱.pfx -destkeystore domains.jks -srcstoretype PKCS12 -deststoretype JKS
domains.jks是生成的jks格式證書名稱。
回車,會提示你輸入三次密碼,建議三次都是輸入密碼文本的密碼,成功后會再文件夾下生成domains.jks文件
命里行界面截圖:
二、配置server.xml
先把domains.jks證書上傳到服務上的Tomcat的conf文件夾下,我用的是FlashFXP工具上傳。
切換到conf目錄下編輯server.xml (Linux命令)
- cd /usr/tomcat/apache-tomcat-8.5.11/conf 注意改成自己對應文件路徑
- vim server.xml
找到:
修改成以下代碼:(443為https默認訪問端口)
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="conf/domains.jks"
keystorePass="80ISkH7c" //證書密鑰 ,密碼文本那個
clientAuth="false" sslProtocol="TLS" />
為了讓http訪問自動跳轉為https訪問,這里順便把這兩個標簽也改了,
注意:若最后啟動tomcat時候報:Catalina.start using conf/server.xml: Element type "Connector" must be followed by either attribute ,請注意不要分行,每個屬性間隔一個空格保存就好。本人遇到事這樣解決的。
找到:
改成:
找到:
改成:
保存,退出。
三、配置web.xml
編輯web.xml
- vim web.xml
在該文件</welcome-file-list>標簽(一般在文件最末尾)后面加上這樣一段:
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
保存,退出,重啟tomcat.
測試:成功
