由于Tomcat爆出漏洞,前几天公司让在测试环境配置Tomcat8.5.51的https ,配置了很久都不对。最后换了Tomcat8.5.54的才配置成功。下面就是我配置的过程,记录一下,与大家共勉。
- 1.首先公司的泛域名,运维给了ssl证书的文件包:
- 2.我们选取Tomcat的ssl证书,有jks文件和key的文件。
- 3.我下载了Tomcat8.5.54的压缩包
wget http://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-8/v8.5.54/bin/apache-tomcat-8.5.54.tar.gz
下载成功后查看 ls -la
解压 tar -xzvf apache-tomcat-8.5.54.tar.gz
- 4.下面就是配置Tomcat下面 conf目录下的server.xml
1>将jks文件传到conf文件目录下(也可以自己建一个目录,可以用相对路径也可以用绝对路径,本人用的相对路径)
2> 编辑 server.xml > vim server.xml
找到红框的这一块
修改这两块内容
① <Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
改为:
<Connector port="80" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443" />
②
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true">
<SSLHostConfig>
<Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
type="RSA" />
</SSLHostConfig>
</Connector>
改为:
<Connector
protocol="org.apache.coyote.http11.Http11NioProtocol"
port="443" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="conf/jks_name.jks" keystorePass="key"
clientAuth="false" sslProtocol="TLS"
ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
SSL_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />
- 5. esc :wq 保存退出,然后启动tomcat,就可以了。
- 6.配置中遇到的问题
之前按官方文档配置http://tomcat.apache.org/tomcat-8.5-doc/ssl-howto.html 一直未成功。
后来在其他网站上找到要配置一下内容
ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_RSA_WITH_AES_128_CBC_SHA256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
SSL_RSA_WITH_3DES_EDE_CBC_SHA,
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA"
- 沃通证书管理这个网站有各种ssl的配置文档 网址: https://www.wosign.com/Docdownload/index.htm