标签： ssl证书

配置TOMCAT服务器证书

（1） 如果你是在Windows环境中生成证书文件，则需要将生成的证书tomcat.keystore拷贝到Tomcat将要引用的位置，假设tomcat的应用证书的路径是“/etc/tomcat.keystore”，则需要将证书文件拷贝到“etc/”下；如果是在Linux环境按照上述介绍的步骤生成证书文件的话，此时证书文件已经在“etc/”下。

（2） 配置Tomcat，打开$CATALINA_HOME/conf/server.xml，修改如下，

<Connector port=”8080″ protocol=”HTTP/1.1″

connectionTimeout=”20000″

redirectPort=”8443″ />

修改参数=>

<Connector port=”80″ protocol=”HTTP/1.1″

connectionTimeout=”20000″

redirectPort=”443″ />

 

<!–

<Connector port=”8443″ protocol=”HTTP/1.1″ SSLEnabled=”true”

maxThreads=”150″ scheme=”https” secure=”true”

clientAuth=”false” sslProtocol=”TLS”/>

–>

去掉注释且修改参数=>

<Connector port=”443″ protocol=”HTTP/1.1″ SSLEnabled=”true”

maxThreads=”150″ scheme=”https” secure=”true”

clientAuth=”false” sslProtocol=”TLS” keystoreFile=”/etc/tomcat.keystore” keystorePass=”www.gbcom.com.cn”/>

注释：标识为淡蓝色的两个参数，分别是证书文件的位置和<tomcat>的主密码，在证书文件生成过程中做了设置

 

<!–

<Connector port=”8009″ enableLookups=”false” protocol=”AJP/1.3″ redirectPort=”8443″ />

–>

修改参数=>

<Connector port=”8009″ enableLookups=”false” protocol=”AJP/1.3″ redirectPort=”443″ />

(3) 打开$CATALINA_HOME/conf/web.xml，在该文件末尾增加：

<security-constraint>

<web-resource-collection >

<web-resource-name >SSL</web-resource-name>

<url-pattern>/*</url-pattern>

</web-resource-collection>

 

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

</security-constraint>

3、上述配置完成后，重启TOMCAT后即可以使用SSL证书。IE地址栏中可以直接输入地址不必输入“http://” 或者 “https://” ；也可以输入 “http:// ” 会跳转成为 “https://” 来登录

现在常见的网络架构为，后台web应用服务器，前段有负载均衡设备或是网关设备（如F5 或是 四成交换机 Array ），负载均衡等硬件设备都至少两台做备份；在现有的环境中，部署SSL证书，那么可以吧证书部署在F5上等硬件设备上来做SSL服务，这样可以不用在后台应用服务器上部署证书，一般常见的硬件设备上都会有SSL模块，而且硬件设备上配置SSL证书，可以使用硬件的加速功能，来提高SSL的访问性能，这样，可能会有的问题，是，硬件设备上的SSL模块一般都是单独出售，价格可能较贵，SSL证书部署成功后，那么从硬件设备到应用服务器之间仍然使用原有的http协议调用数据，被加密的数据传输过程为，从浏览器端到硬件设备之间，也就是说证书可以保证从浏览器到安装有证书的节点之间的数据加密，在硬件设备上安装SSL证书一般证书厂商工程师不会直接协助安装，都是有硬件厂商工程师进行安装证书；

还有就是在后台应用服务器上进行部署SSL证书，应用服务器的功能一般较专业的硬件网关或是负载均衡的功能可能会差很多，但是在后台应用服务器上部署SSL证书可以保证从浏览器到最后端的应用服务器之间的全称数据的加密，但是如果应用服务器的数量较多，那么在实施安装证书的工作中会比较繁琐，还有就是密钥文件的保存存在风险，一般的服务器证书都会有license，如果要在多台的应用服务器上安装证书，那么可能还需要购买多个的license，会增加费用。

所以一般如果网络架构中有负载均衡设备做负载，并且要部署SSL证书的话，建议部署在负载均衡设备上，由负载均衡设备或是网关设备提供SSL加密服务。

随着人们对网络的依赖愈渐加深，各种加密技术应运而生，用以保障网络信息的安全性。SSL(Secure Sockets Layer)加密协议，便是在互联网上广泛应用于交易安全性保障的一种主导技术。

SSL属于加密通讯协议，工作在TCP协议和应用层协议之间。在SSL加密通道内可以运行很多的上层协议，如HTTP通过SSL封装后的协议通常标示为HTTPS。在一般情况下，HTTP采用明文的方式在互联网上进行传输，但是对于认证口令等敏感信息而言，会存在被非法窃听的风险。为了消除这一方面的隐患，可采用SSL加密协议对HTTP协议进行加密(即HTTPS)，以确保在整个数据传输过程中的信息安全性。在SSL通信过程中，首先采用非对称密钥技术交换认证信息，并交换服务器和浏览器之间用于加密数据的会话密钥，然后利用该密钥对通信过程中的信息进行加密和解密。