Java Tomcat中SSL配置步驟

在Java Tomcat中配置SSL（Secure Sockets Layer）以確保Web應用的安全性是一個重要的步驟。以下是詳細的配置步驟：

準備工作

1. 獲取SSL證書：

• 可以自簽名證書，也可以從認證機構（如Let’s Encrypt）獲得有效的SSL證書。
• 如果使用自簽名證書，需要生成密鑰庫和證書簽名請求（CSR），然后使用密鑰庫生成證書。

2. 安裝OpenSSL工具（如果尚未安裝）。

3. 下載Tomcat服務器所需的證書文件。

配置步驟

1. 解壓證書文件：

• 將下載的證書文件解壓，通常會得到兩個文件：證書文件（如 domain name.pfx）和密碼文件（如 pfx-password.txt）。

2. 創建cert目錄并拷貝證書文件：

• 在Tomcat安裝目錄下新建 cert 目錄，將解壓的證書和密碼文件拷貝到該目錄下。

3. 修改 server.xml 配置文件：

• 打開Tomcat安裝目錄下的 conf/server.xml 文件。
• 找到以下 <Connector> 標簽并修改：

<!-- 注釋掉原來的Connector -->
<!--
<Connector port="8443" protocol="HTTP/1.1" port="8443" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS"/>
-->

<!-- 添加新的Connector用于HTTPS連接 -->
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="/path/to/your/keystore.jks" keystorePass="your_keystore_password" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

• 請根據實際情況修改 port、keystoreFile 和 keystorePass 屬性。

4. 可選：配置 web.xml 文件：

• 在 conf/web.xml 文件中添加以下內容，以開啟HTTP強制跳轉HTTPS：

<login-config>
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
    <web-resource-collection>
        <web-resource-name>Secure Area</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

5. 重啟Tomcat服務器：

• 保存并關閉 server.xml 文件。
• 使用以下命令重啟Tomcat：

./bin/shutdown.sh
./bin/startup.sh

或者（對于Windows系統）：

catalina.bat stop
catalina.bat start

驗證配置

• 通過瀏覽器訪問 https://yourdomain.com（用你的實際域名替換），如果頁面正常加載且顯示為安全連接，則說明SSL配置成功。

以上步驟應該能夠幫助你在Java Tomcat中成功配置SSL。如果在配置過程中遇到問題，請檢查日志文件以獲取更多信息，并確保所有路徑和文件名都是正確的。