强制使用https访问

最新推荐文章于 2025-10-27 15:14:47 发布
原创 最新推荐文章于 2025-10-27 15:14:47 发布 · 7.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

环境:

tomcat8

jsp


准备:

1.产生密匙

参数中,-alias如果不用tomcat ,server.xml中需要另外加字段指明

秘钥库密码如何和秘钥密码不同和话,下面配置的时候需要分别加一下,网上的例子好多都是密匙库和秘钥密码相同

keytool -genkeypair -keyalg "RSA" -keystore "tomcat_keystore" -alias "tomcat"


2.在server.xml里配置密匙信息和https connector

只要把8443那个connector 解除注释就可以了,然后加上

keystoreFile="d:/key/tomcat.keystore" keystorePass="tomcat123"

那个protocal好像有几种选择,完整版

	<Connector port="443" protocol="HTTP/1.1"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
               keystoreFile="d:/key/tomcat.keystore" keystorePass="tomcat" />


下面是具体可以配置的选项,copy自:http://127.0.0.1/docs/config/http.html#SSL_Support(tomcat自带的文档)

The BIO, NIO and NIO2 connectors use the following attributes to configure SSL:
AttributeDescription
algorithm

The certificate encoding algorithm to be used. This defaults to KeyManagerFactory.getDefaultAlgorithm() which returns SunX509 for Sun JVMs. IBM JVMs return IbmX509. For other vendors, consult the JVM documentation for the default value.

allowUnsafeLegacyRenegotiation

Is unsafe legacy TLS renegotiation allowed which is likely to expose users to CVE-2009-3555, a man-in-the-middle vulnerability in the TLS protocol that allows an attacker to inject arbitrary data into the user's request. If not specified, a default of false is used. This attribute only has an effect if the JVM does not support RFC 5746 as indicated by the presence of the pseudo-ciphersuite TLS_EMPTY_RENEGOTIATION_INFO_SCSV. This is available JRE/JDK 6 update 22 onwards. Where RFC 5746 is supported the renegotiation - including support for unsafe legacy renegotiation - is controlled by the JVM configuration.

ciphers

If specified and using ',' as a separator, only the ciphers that are listed and supported by the SSL implementation will be used. The ciphers are specified using the JSSE cipher naming convention. The special value of ALL will enable all supported ciphers. This will include many that are not secure. ALL is intended for testing purposes only.

The list can also use ':' as a separator, in that case it will use the OpenSSL syntax (see OpenSSL documentation for the list of ciphers supported and the syntax).

If not specified, a default (using the OpenSSL notation) of HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5 will be used.

Note that Java does treat the order in which ciphers are defined as an order of preference.

clientAuth

Set to true if you want the SSL stack to require a valid certificate chain from the client before accepting a connection. Set to want if you want the SSL stack to request a client Certificate, but not fail if one isn't presented. A false value (which is the default) will not require a certificate chain unless the client requests a resource protected by a security constraint that uses CLIENT-CERT authentication.

clientCertProvider

When client certificate information is presented in a form other than instances of java.security.cert.X509Certificate it needs to be converted before it can be used and this property controls which JSSE provider is used to perform the conversion. For example it is used with the AJP connectors, the HTTP APR connector and with the org.apache.catalina.valves.SSLValve. If not specified, the default provider will be used.

crlFile

The certificate revocation list to be used to verify client certificates. If not defined, client certificates will not be checked against a certificate revocation list.

keyAlias

The alias used to for the server certificate in the keystore. If not specified the first key read in the keystore will be used.

keyPass

The password used to access the server certificate from the specified keystore file. The default value is "changeit".

keystoreFile

The pathname of the keystore file where you have stored the server certificate to be loaded. By default, the pathname is the file ".keystore" in the operating system home directory of the user that is running Tomcat. If your keystoreType doesn't need a file use "" (empty string) for this parameter.

keystorePass

The password used to access the specified keystore file. The default value is the value of the keyPass attribute.

keystoreProvider

The name of the keystore provider to be used for the server certificate. If not specified, the list of registered providers is traversed in preference order and the first provider that supports the keystoreType is used.

keystoreType

The type of keystore file to be used for the server certificate. If not specified, the default value is "JKS".

sessionCacheSize

The number of SSL sessions to maintain in the session cache. Use 0 to specify an unlimited cache size. If not specified, a default of 0 is used.

sessionTimeout

The time, in seconds, after the creation of an SSL session that it will timeout. Use 0 to specify an unlimited timeout. If not specified, a default of 86400 (24 hours) is used.

sslEnabledProtocols

The comma separated list of SSL protocols to support for HTTPS connections. If specified, only the protocols that are listed and supported by the SSL implementation will be enabled. If not specified, the JVM default (excluding SSLv2 and SSLv3 if the JVM enables either or both of them by default) is used. The permitted values may be obtained from the JVM documentation for the allowed values for SSLSocket.setEnabledProtocols() e.g. Oracle Java 7. Note: There is overlap between this attribute and sslProtocol.

sslImplementationName

The class name of the SSL implementation to use. If not specified, the default of org.apache.tomcat.util.net.jsse.JSSEImplementation will be used which wraps JVM's default JSSE provider. Note that the JVM can be configured to use a different JSSE provider as the default.

sslProtocol

The the SSL protocol(s) to use (a single value may enable multiple protocols - see the JVM documentation for details). If not specified, the default is TLS. The permitted values may be obtained from the JVM documentation for the allowed values for algorithm when creating an SSLContext instance e.g. Oracle Java 7. Note: There is overlap between this attribute and sslEnabledProtocols.

trustManagerClassName

The name of a custom trust manager class to use to validate client certificates. The class must have a zero argument constructor and must also implement javax.net.ssl.X509TrustManager. If this attribute is set, the trust store attributes may be ignored.

trustMaxCertLength

The maximum number of intermediate certificates that will be allowed when validating client certificates. If not specified, the default value of 5 will be used.

truststoreAlgorithm

The algorithm to use for truststore. If not specified, the default value returned by javax.net.ssl.TrustManagerFactory.getDefaultAlgorithm() is used.

truststoreFile

The trust store file to use to validate client certificates. The default is the value of the javax.net.ssl.trustStore system property. If neither this attribute nor the default system property is set, no trust store will be configured.

truststorePass

The password to access the trust store. The default is the value of the javax.net.ssl.trustStorePassword system property. If that property is null, no trust store password will be configured. If an invalid trust store password is specified, a warning will be logged and an attempt will be made to access the trust store without a password which will skip validation of the trust store contents.

truststoreProvider

The name of the truststore provider to be used for the server certificate. The default is the value of the javax.net.ssl.trustStoreProvider system property. If that property is null, the value of keystoreProvider is used as the default. If neither this attribute, the default system property nor keystoreProvideris set, the list of registered providers is traversed in preference order and the first provider that supports the truststoreType is used.

truststoreType

The type of key store used for the trust store. The default is the value of the javax.net.ssl.trustStoreType system property. If that property is null, the value of keystoreType is used as the default.



3.确认输入https://127.0.0.1/可以正常访问(浏览器会有一个警告,点击继续访问就可以了)

另外,官方给的文档地址是:http://127.0.0.1/docs/ssl-howto.html



方案:

方法一:在相应的应用的web.xml中加入

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

具体做法可能有不同,下面是采用FORM权限验证时的配置

	<security-constraint>
		<display-name>zzz</display-name>
		<web-resource-collection>
			<web-resource-name>xxx</web-resource-name>
			<!-- Define the context-relative URL(s) to be protected -->
			<url-pattern>/*</url-pattern>
			<!-- If you list http methods, only those methods are protected so -->
			<!-- the constraint below ensures all other methods are denied     -->
			<http-method>DELETE</http-method>
			<http-method>GET</http-method>
			<http-method>POST</http-method>
			<http-method>PUT</http-method> 
		</web-resource-collection>
		<auth-constraint>
			<!-- Anyone with one of the listed roles may access this area -->
			<role-name>gm</role-name>
		</auth-constraint>
		<user-data-constraint>
			<transport-guarantee>CONFIDENTIAL</transport-guarantee>
		</user-data-constraint>
    </security-constraint>

    <!-- Default login configuration uses form-based authentication -->
    <login-config>
      <auth-method>FORM</auth-method>
      <realm-name>yyy</realm-name>
      <form-login-config>
        <form-login-page>/login.jsp</form-login-page>
        <form-error-page>/error.jsp</form-error-page>
      </form-login-config>
    </login-config>
    <security-role>
      <role-name>gm</role-name>
    </security-role>
 
方法二:在jsp页面中加入重定向,定向到https页面 

<%
	if (!"https".equalsIgnoreCase(request.getScheme()))
	{
		String url=request.getRequestURL().toString();
		url=url.replace("http://","https://");		
		response.sendRedirect(url);
	}
%>


参考:

1.http://biancheng.dnbcw.info/java/337001.html

2.http://wenku.baidu.com/link?url=-yRtvPa5FsBnpgZj8btd4rBodqAHhknqIjLA2lloOunHvsXxyDkYADtaN1bHsVsfiuoQJCECfUEPUhr35mpPiz_9zptqLmp6USRl62HyuqG

3.

harryhare
关注
Hexo - 强制使用https协议
zywvvd的博客
05-06 1640
https 是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包,相比与http更加安全。本文介绍Hexo博客强制用户https协议访问的方法。 修改 Pages 设置 在hexo 挂载的pages中设置(例如我的是github pages),勾选 Enforce HTTPS 此时用户访问您链接时必须使用https协议 CDN加...
SEO优化篇-NGINX强制使用https访问(http跳转到https)
终南有客-吾生也有涯,而知也无涯。
12-22 2201
SEO优化篇-NGINX强制使用https访问(http跳转到https) 基于nginx搭建了一个https访问的虚拟主机,监听的域名是chuxuezhe.xyz,但是很多用户不清楚https和http的区别,会很容易敲成http://chuxuezhe.xyz,这时会报出404错误,所以我需要做基于chuxuezhe.com域名的http向https强制跳转 二.http跳转到https配置方式 进过网上查询,总结了一下三种方式,可以根据需求进行设...
nginx强制使用https访问(http跳转到https)
系统运维
01-28 3564
需求简介 基于nginx搭建了一个https访问的虚拟主机,监听的域名是test.com,但是很多用户不清楚https和http的区别,会很容易敲成http://test.com,这时会报出404错误,所以我需要做基于test.com域名的http向https强制跳转 我总结了三种方式,跟大家共享一下 nginx的rewrite方法 思路 这应该是大家最容易想到的方法,将所...
Tomcat下配置HTTPS
最新发布
2509_93925371的博客
10-27 1059
事实上,客户端会生成一个随机秘钥,然后利用该随机秘钥对所要传输的数据进行加密,然后客户端利用自己的公钥对随机秘钥进行加密,然后client将加密后的随机秘钥和数据一起发送给服务器,服务器利用client的证书可以解开随机秘钥,然后再利用随机秘钥解开数据信息。Tomcat核心功能还是作为Java的容器来运行Java后端代码,虽然内置了对HTTP请求的支持,但并不是最优选择,通常部署时,会在Tomcat前面加一个专用的Http服务器,例如Nginx或Apache。客户端对要发送的数据进行加密,发送给服务器。
如何强制用户通过HTTPS访问网站
xsp0721的专栏
11-25 5597
 有时候,为了网站数据传输的安全,我们希望用户访问网站某些页面或者整个网站的时候,必须通过HTTPS的方式访问,而不允许HTTP明文方式访问,如何正确的配置网站和编写程序以达到一个理想的效果呢?        有些网站开发人员,采用了只开放了HTTPS-443端口,而关闭HTTP-80端口的方式,这样的话,虽然可以造成用户的确无法用HTTP访问网站了,但如果用户通过HTTP访问网站,譬
强制使用https访问的方法-xyphf
xyphf的博客
01-27 1188
Nginx服务器,在server { ... } 中插入 rewrite ^(.*)$ https://$host$1 permanent; .htaccess文件,适用于Apache 配置文件的<Directory>标签内 RewriteEngine on RewriteBase /yourfolder RewriteCond %{SERVER_PORT} !^443$ RewriteRule ^.*$ https://%{SERVER_NAME}%{REQUEST_URI} [..
Linux:强制用户访问加密(强制让用户使用https访问
fox_kang的博客
04-26 526
【代码】Linux:强制用户访问加密(强制让用户使用https访问
nginx强制使用https访问的方法(http跳转到https)
09-30
本篇文章将详细介绍三种在Nginx中实现强制HTTPS访问的方法。 1. **Nginx的Rewrite方法** 这是最常见的方法,通过Nginx的`rewrite`规则将所有HTTP请求重定向到对应的HTTPS地址。在Nginx配置文件中添加如下代码: `...
Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法
12-23
Https使用的默认端口是443。更多HTTPS原理可以参考阮一峰老师的文章:http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html SSL证书 证书类型简介 要设置安全服务器,使用公共钥创建一对公私钥对。大多数情况下,...
laravel 解决强制跳转 https的问题
10-16
因此,Laravel提供了另一种更为巧妙的解决方案:在App\Providers\AppServiceProvider.php的boot()方法中使用URL门面的forceScheme方法来强制所有生成的URL使用HTTPS模式。这样做可以确保无论在应用的哪个部分,生成...
宝塔中的强制https是什么意思
pvmsmfchcs的博客
11-11 5308
宝塔 网站->设置->配置文件 其中的强制https是什么意思, 就是一般我们访问网页通过直接输入域名,但是这个时候浏览器自动给的是http,我们想要浏览器安全访问就需要将http强制转换为https, 需要的端口是http 80端口 https的443端口,我们看到配置文件中的代码应该是这样的: listen 80 default_server; listen 443 ssl http2 default_server; ...
网站如何支持并强制HTTPS访问?Nginx服务器
11-20 933
使用FTP工具将上图中的KEY和安全证书上传到Nginx的根目录,我的Nginx安装目录是 /etc/nginx。核心思路是nginx.con配置文件中同时监听80和443端口的请求,当接收到http请求时通过301重定向到https,见下文代码块中#######包含的内容。解压缩后得到下图中的文件,红框内的部分代表SSL证书绑定的域名。使用vim修改 /etc/nginx/nginx.conf 文件,并将如下的内容修改后添加到文件中去。
强制HTTPS
CSS 初学者指南
06-26 524
RewriteEngine on RewriteCond %{HTTPS} !on RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} 如果在服务器前有一个代理执行TLS终止: RewriteCond %{HTTP:X-Forwarded-Proto} !https RewriteRule (.*) https://%{HTTP_HOST}%...
阿里云服务器配置https(安装ssl证书)以及强制使用https
柚子烧酒
04-23 2259
一. 购买ssl证书 我是在阿里云购买的,证书选型、价格以及申请流程可以参照官方文档:阿里云SSL证书 主要是以下几步: 证书选型和购买 证书申请 等待审核(免费的DV证书非常快,我等了10多分钟就审核完了,会有短信或者邮件提醒的) 下载证书 二. 安装证书 阿里云对应不同服务器,也有安装证书的官方文档:SSL证书安装指南 我的是 Apache服务器,主要是以下几步: 远程连接服务器(推荐...
宝塔被强制https访问,不能http访问问题
qq_34631220的博客
03-14 1415
所有网站被强制https访问,不能在使用http访问,是因为有一个网站,入之前创建http端口是9000,https端口是9001,后面突然领导要求,9000为https,9001为http,两个端口切换后,全网就被强制https了,出bug了,所有网站必须https访问,不能在使用httpl了。在新建个绑定到原网站,就可以了。删除这个端口互换的,
为站点开启 HTTPS 强制跳转
极客神殿
12-22 2531
全站强制访问通过修改 .htaccess 文件实现。一般情况下用户访问网站时都不会专程加上 https:// 来使用 HTTPS 协议连接,因而就需要在用户通过 HTTP 连接时强制跳转至 HTTPS 协议下。但是,搜索引擎在抓取网站时可能会因为网站强制使用HTTPS 协议而抓取失败(应该是除了 Google 其他引擎都不支持),所以针对搜索引擎的蜘蛛需要将他们重新因导至 HTTP 协议下。 ...
Chrome(谷歌浏览器)强制将http转为https访问,最有效解决方法!
热门推荐
Rain
11-27 1万+
看第二个解决方案,你可能真的就解决了!!
【微服务部署】05-安全:强制HTTPS
Tiger_shl的博客
08-29 1689
强制HTTPS
配置Nginx强制使用HTTPS访问详细步骤
03-26
<think>好的,我现在需要帮助用户了解如何配置Nginx强制重定向到HTTPS。用户已经提供了一些参考资料,我需要整合这些信息,并按照用户的要求生成详细的步骤。首先,我要确认用户的需求是详细的配置步骤,所以需要一步步指导,同时确保符合用户提到的引用格式和结构。 首先,根据引用[2],有两种方法:rewrite和return 301。用户提到推荐方法2,也就是使用301状态码,这可能是因为301是永久重定向,对SEO更友好,且效率更高。所以,我应该优先介绍这种方法。 接下来,我需要考虑配置的位置。根据引用[1],如果是编译安装或自定义配置,可能需要单独配置443端口的server块。而用户的问题是关于强制重定向,所以重点在80端口的配置,将HTTP请求重定向到HTTPS。同时,引用[3]提到配置冲突的问题,比如如果有多个server块监听80端口,可能会导致冲突,需要检查是否有重复的配置,尤其是server_name是否正确。 然后,步骤部分需要详细说明如何编辑配置文件,通常是在/etc/nginx/sites-available/或nginx.conf中添加或修改server块。需要提醒用户备份配置文件,测试配置是否正确,并重新加载Nginx。同时,常见问题如配置冲突、防火墙设置、端口监听状态等,需要根据引用[3]中的排查步骤来总结。 可能用户还会遇到问题,比如配置后不生效,这时候需要检查语法错误,使用nginx -t测试,以及检查是否有其他server块干扰。引用[3]中的例子显示,可能存在多个server块监听同一端口,导致冲突,这时候需要确保只有一个server块处理HTTP到HTTPS的重定向,其他server块可能需要调整。 最后,生成相关问题时要围绕Nginx配置、HTTPS、重定向相关问题,比如优化方法、SSL证书配置、测试方法等。确保问题与主题相关,帮助用户进一步了解相关知识。 总结步骤: 1. 编辑Nginx配置文件,添加server块监听80端口,使用return 301重定向。 2. 配置HTTPS的server块,监听443端口,并配置SSL证书。 3. 检查配置冲突,避免多个server块监听同一端口和域名。 4. 测试配置并重新加载Nginx。 5. 常见问题排查,如防火墙、端口占用、语法错误等。 需要确保引用正确,比如引用[2]中的两种方法,引用[3]中的配置冲突问题,引用[4]中的重定向目的。同时,按照用户的格式要求,使用中文回答,行内公式用$...$,独立公式用$$...$$,但在这个问题中可能不需要数学公式,但需要保持结构清晰,代码块正确。</think>### 如何配置Nginx强制重定向到HTTPS的详细教程 以下是配置Nginx强制将HTTP请求重定向到HTTPS的步骤,基于Nginx的`return 301`方法(推荐)和`rewrite`方法,并提供常见问题排查: --- #### **方法1:使用301状态码(推荐)** 1. **编辑Nginx配置文件** 打开Nginx的配置文件(通常位于`/etc/nginx/sites-available/default`或自定义配置文件),在监听80端口的`server`块中添加以下内容: ```nginx server { listen 80; server_name example.com www.example.com; # 替换为你的域名 return 301 https://$server_name$request_uri; # 强制重定向到HTTPS } ``` 此配置会将所有HTTP请求永久重定向到相同域名的HTTPS地址[^2]。 2. **配置HTTPS的server块** 确保已配置监听443端口的`server`块,并正确指定SSL证书路径: ```nginx server { listen 443 ssl; server_name example.com www.example.com; ssl_certificate /path/to/your/certificate.crt; # SSL证书路径 ssl_certificate_key /path/to/your/private.key; # 私钥路径 # 其他HTTPS相关配置... } ``` --- #### **方法2:使用rewrite指令** 如果更习惯使用`rewrite`,可替换`return 301`为以下内容: ```nginx server { listen 80; server_name example.com www.example.com; rewrite ^(.*)$ https://$host$1 permanent; # permanent等效于301状态码 } ``` 此方法通过正则表达式匹配所有请求路径并重定向。 --- #### **关键注意事项** 1. **避免配置冲突** - 检查是否有其他`server`块也监听80端口,并确保`server_name`唯一或优先级正确[^3]。 - 示例冲突配置: ```nginx server { listen 80; server_name example.com; # 静态文件服务等无关配置... } ``` 此类配置会与重定向规则冲突,需合并或删除重复配置。 2. **测试与重载配置** - 执行命令检查语法:`nginx -t` - 重载配置:`nginx -s reload` 3. **检查端口与防火墙** - 确认Nginx已绑定80端口:`netstat -tuln | grep 80` - 确保防火墙允许HTTP/HTTPS流量:`sudo ufw allow 80/tcp`和`sudo ufw allow 443/tcp`。 --- #### **常见问题排查** - **重定向失效** - 检查域名是否匹配`server_name`,或使用通配符`_`作为默认配置。 - 查看错误日志:`tail -f /var/log/nginx/error.log` - **SSL证书错误** - 确认证书路径正确,且私钥文件权限为600。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值