Tomcat配置SSL实现HTTPS安全传输-优快云博客

本文链接：https://blog.youkuaiyun.com/jjavaboy/article/details/42686773

本文介绍了如何在Tomcat服务器上配置SSL，以确保数据通过HTTPS安全传输。首先，创建keystore文件并设置口令，接着配置Tomcat使用该keystore文件，最后在应用的web.xml中设置强制使用HTTPS协议，以保证用户信息的安全。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

曾经看过一个视频，这是关于网络安全的测试。A老外共享了wifi，并且不用输密码就可以连接上的wifi。由于此wifi无须密码验证，B老外便很快连接上了此wifi，接着登录某个网站，很快地，A老外便知道了B老外的网站账号和密码。A老外展示了他捕捉到的一连串请求信息，其中就有账号和密码。

很明显这个网站是采取http超文本协议在网络上传送数据的，这样用户的信息是非常不安全的，只要可以拦截到传送包，用户的信息就全部暴露无疑。而https是在http上加入ssl协议，ssl协议对数据进行加密。所以https是具有安全性的ssl加密传输协议。

tomcat是提供https传输协议的，在tomcat配置ssl步骤：

1、创建keystore文件

2、配置tomcat使用keystore文件

3、配置应用使用https协议访问

1、创建keystore文件

其实keystore文件就是密钥仓库，密钥仓库储存了密钥和证书。如果要修改密钥仓库，需要提供口令，这样就可以保护到密钥仓库和证书。当然每个密钥仓库都有一个别名唯一识别它，通过别名可以指向密钥仓库，例如在修改密钥仓库的信息时。

当然，该步的前提是你已经安装了jdk（本人使用了jdk6），执行命令：

keytool -genkey -alias tomcat -keyalg RSA -keystore d:\apache-tomcat-7.0.59\conf\.keystore

输入keystore密码：111111

再次输入新密码：111111

你的姓氏与名称是什么？

[Unkown]：

您的组织单位名称是什么？

[Unkown]：

您所在的城市或区域名称是什么？
[Unkown]：

您所在的州或省份名称是什么？

[Unkown]：

该单位的两字母国家代码是什么？

[Unkown]：

CN=XX, OU=XX, O=XX, L=XX, ST=XX, C=XX 正确吗？

[否]：y

输入<tomcat>的主密码

        （如果和 keystore 密码相同，按回车）：

其中

-alias 参数用来设置keystore文件的别名

-keystore 参数用来设置keystore文件的文件名的。

执行完以为命令，在tomcat的conf目录下就生成了keystore文件了，

2、配置tomcat使用keystore文件

本人的tomcat是7.0.59。

进入tomcat的conf/server.xml文件，默认情况下SSL是被注释掉的，

<!-- Define a SSL HTTP/1.1 Connector on port 8443
         This connector uses the BIO implementation that requires the JSSE
         style configuration. When using the APR/native implementation, the
         OpenSSL style configuration is required as described in the APR/native
         documentation -->
    <!--
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />
    -->

修改为：

<Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
    disableUploadTimeout="true" enableLookups="false" maxThreads="25"
    port="8443" keystoreFile="${catalina.home}/conf/.keystore" keystorePass="111111"
    protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https"
    secure="true" sslProtocol="TLS" />

其中

keystoreFile参数指向keystore文件的路径；

keystorePass参数设置密码（生成keystore文件时设置的密码）。

3、配置应用使用https协议访问

在应用的web.xml文件里添加以下内容：

<security-constraint>
    <web-resource-collection>
        <web-resource-name>securedapp</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

其中

transport-guarantee 标签设置为 CONFIDENTIAL ，这样应用的所有请求都支持 SSL方式访问；

transport-guarantee 标签设置为 NONE，则不支持SSL。

访问应用，输入URL：https://ip:8443/app。