tomacat7开启单向https配置后相关事项（windows）_下载tomacat7之后如何使用-优快云博客

本文链接：https://blog.youkuaiyun.com/Chenbug666/article/details/83965065

本文介绍如何通过修改Tomcat的web.xml和server.xml文件实现HTTP自动跳转HTTPS，并自行签署SSL证书。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

打开web应用的web.xml文件，在最后加上这样一段
 <security-constraint>
      <web-resource-collection>
           <web-resource-name>Protected Context</web-resource-name>
           <url-pattern>/*</url-pattern>
      </web-resource-collection>
      <user-data-constraint>
           <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
 </security-constraint>
重启tomcat，现在你访问原来的地址，假设是 http://localhost:8080/index，
连接被重定向到了https的连接 https://localhost:8080/index，

 如果想指定部分链接强制跳转，则将上面xml代码段中的
     <url-pattern>/*</url-pattern>
 的 /* 替换为响应路径，
 eg.强制开启网站后台http访问跳转https,假设网站后台是http://localhost:8080/admin，
 则将 /* 修改成 /admin 即可，保存web.xml,并重启tomcat.
 在浏览器中访问后台http://localhost:8080/admin,会发现后台自动跳转到了https链接，再访问其他页面，
 则保持原有http链接，不会强制跳转https。

但似乎还有点小问题，keystorePass="123456"，这个密码直接被明码方式写在server.xml里。感觉需要再修改一下。

使用openssl。

首先，需要下载openssl，为了方便，可以下载一个绿色版，
    http://www.itrus.com.cn/verisignchina/Service/soft/autocsr.rar
加压后除了openssl.exe以外，还有一个bat文件，这个可以帮助我们快速创建证书申请文件。
运行autocsr.bat，按照提示输入信息，之后按任意键确认。你会得到两个文件，一个server.key，这是私钥文件，
还有一个名为certreq.csr的证书请求文件。

如果你要向证书颁发机构申请正式的安全证书，那么就把这个certreq.csr文件发给他们就行了。
他们会给你发来两个cer文件，一个是服务器证书，一个是根证书
如果你只是要使用https，那么证书自己签署就可以了。
在命令行下进入刚才解压的目录，找到openssl.exe所在的目录，执行以下命令
openssl x509 -req -in certreq.csr -out cert.cer -signkey server.key -days 3650
现在你将得到一个名为cert.cer的证书文件。
修改server.xml将
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
         maxThreads="150" scheme="https" secure="true"
         keystoreFile="bin/.keystore" keystorePass="123456"
         clientAuth="false" sslProtocol="TLS" />
修改为以下内容（假设cert.cer和server.key文件都放在tomcat的conf目录下）
     <Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol" SSLEnabled="true"
        maxThreads="150" scheme="https" secure="true"
        SSLCertificateFile="conf/cert.cer"
        SSLCertificateKeyFile="conf/server.key"
        sslProtocol="TLS" />

PS.如果真的向证书颁发机构申请到了正式的安全证书，那么配置还有点不同，如下
 <Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol" SSLEnabled="true"
      maxThreads="150" scheme="https" secure="true"
      SSLCertificateFile="conf/server.cer"
      SSLCertificateKeyFile="conf/server.key"
      SSLCertificateChainFile="conf/intermediate.cer"
      sslProtocol="TLS" />
因为证书颁发机构会给两个证书，一个是签署后的服务器证书，还有一个中级CA证书，所以要多一行配置。
好了，到这里都配置完了，重启tomcat，就可以看到效果。

不过，看到的通常会是一个exception，
大概是说APR not available
如果遇到这个异常，说明你的tomcat没有安装apr支持，请到以下地址去下载
http://apache.etoak.com/tomcat/tomcat-connectors/native/1.1.22/binaries/win32/
需要下载tcnative-1.dll和openssl.exe
将它们放到tomcat的bin目录下，然后修改catalina.bat文件，在其中加入SET PATH=%PATH%;.（最后的点不能漏掉）
之后启动tomcat，问题应该解决了，看起来效果和第一种方式没什么不同。