1. 在jkd安装目录 找到 jdk1.8.0/bin/keytool.exe
2. 在命令提示符窗口进入到jdk1.8.0/bin/路径下, 执行一下语句, san=ip: IP地址为需要安装https的服务器IP, -keystore为指定的生成文件的全路径.
keytool -genkey -alias tomcat -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore d:\keystore.p12 -validity 3650 -ext san=ip:172.0.0.1 -dname "CN=garyyan, OU=mycompany, O=mycompany, L=gd, ST=gd, C=china"
会提示你输入密码, 然后回车, 再确认一次密码, 回车,
123456
123456
3. 继续执行如下命令, -keystore d:\keystore.p12 为上一行命令配置的路径, -file d:\cer.cer为要生成的证书的全路径 -storepass 后面接着前面输入的密码
keytool -export -keystore d:\keystore.p12 -alias tomcat -file d:\182cer.cer -storepass 123456
4. 将keystore.p12 以及 cer.cer 拷贝到需要安装https的服务器任意目录下
5. 在需要安装https的服务器tomcat的/conf/server.xml, 增加配置如下:
maxHttpHeaderSize是请求信息大小.keystoreFile是服务器上的p12文件的路径, keystorePass为密码, 好像也不需要182cer.cer
<Connector port="8443" protocol="HTTP/1.1"
maxThreads="150" SSLEnabled="true" schema="https"
secure="true" clientAuth="false" sslProtocol="TLS"
keystoreFile="/opt/keystore.p12"
keystoreType="pkcs12"
keystorePass="123456"
maxHttpHeaderSize="102400" />
6. 在tomcat的/conf/catalina.properties文件的最后加上
tomcat.util.http.parser.HttpParser.requestTargetAllow=|{}
org.apache.tomcat.util.buf.UDecoder.ALLOW_ENCODED_SLASH=true
7. 强制http跳转https, 在tomcat的/conf/web.xml的</welcome-file-list>后面添加如下代码
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection>
<web-resource-name>SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
网友评论