tomcat https配置不上,记一次keystore与key不同的报错问题

最新推荐文章于 2025-08-08 16:11:52 发布
原创 最新推荐文章于 2025-08-08 16:11:52 发布 · 4.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

在尝试配置Tomcat HTTPS时遇到无法访问加密页面的问题,错误源于keystore和key密码不一致。官方教程提示,如果这两个密码不同,需要在配置中同时设置keystore和key密码。解决方案是在server.xml中添加'certificateKeyPassword'属性并指定正确密码。

按照官方教程配置好server.xml后,无论怎么启动tomcat,死活都无法访问加密网页。在cmd下开启tomcat发现如下报错

27-Aug-2018 15:39:26.420 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log Server version:        Apache Tomcat/9.0.11
27-Aug-2018 15:39:26.424 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log Server built:          Aug 11 2018 19:47:23 UTC
27-Aug-2018 15:39:26.424 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log Server number:         9.0.11.0
27-Aug-2018 15:39:26.424 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log OS Name:               Windows 10
27-Aug-2018 15:39:26.425 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log OS Version:            10.0
27-Aug-2018 15:39:26.425 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log Architecture:          amd64
27-Aug-2018 15:39:26.425 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log Java Home:             D:\jdk\jre
27-Aug-2018 15:39:26.425 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log JVM Version:           1.8.0_171-b11
27-Aug-2018 15:39:26.426 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log JVM Vendor:            Oracle Corporation
27-Aug-2018 15:39:26.426 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log CATALINA_BASE:         D:\apachetomcat9_0_11
27-Aug-2018 15:39:26.426 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log CATALINA_HOME:         D:\apachetomcat9_0_11
27-Aug-2018 15:39:26.426 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log Command line argument: -Djava.util.logging.config.file=D:\apachetomcat9_0_11\conf\logging.properties
27-Aug-2018 15:39:26.426 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log Command line argument: -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager
27-Aug-2018 15:39:26.427 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log Command line argument: -Djdk.tls.ephemeralDHKeySize=2048
27-Aug-2018 15:39:26.427 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log Command line argument: -Djava.protocol.handler.pkgs=org.apache.catalina.webresources
27-Aug-2018 15:39:26.427 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log Command line argument: -Dignore.endorsed.dirs=
27-Aug-2018 15:39:26.427 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log Command line argument: -Dcatalina.base=D:\apachetomcat9_0_11
27-Aug-2018 15:39:26.427 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log Command line argument: -Dcatalina.home=D:\apachetomcat9_0_11
27-Aug-2018 15:39:26.428 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log Command line argument: -Djava.io.tmpdir=D:\apachetomcat9_0_11\temp
27-Aug-2018 15:39:26.428 信息 [main] org.apache.catalina.core.AprLifecycleListener.lifecycleEvent Loaded APR based Apache Tomcat Native library [1.2.17] using APR version [1.6.3].
27-Aug-2018 15:39:26.428 信息 [main] org.apache.catalina.core.AprLifecycleListener.lifecycleEvent APR capabilities: IPv6 [true], sendfile [true], accept filters [false], random [true].
27-Aug-2018 15:39:26.428 信息 [main] org.apache.catalina.core.AprLifecycleListener.lifecycleEvent APR/OpenSSL configuration: useAprConnector [false], useOpenSSL [true]
27-Aug-2018 15:39:27.074 信息 [main] org.apache.catalina.core.AprLifecycleListener.initializeSSL OpenSSL successfully initialized [OpenSSL 1.0.2o  27 Mar 2018]
27-Aug-2018 15:39:27.177 信息 [main] org.apache.coyote.AbstractProtocol.init Initializing ProtocolHandler ["http-nio-80"]
27-Aug-2018 15:39:27.341 信息 [main] org.apache.tomcat.util.net.NioSelectorPool.getSharedSelector Using a shared selector for servlet write/read
27-Aug-2018 15:39:27.346 信息 [main] org.apache.coyote.AbstractProtocol.init Initializing ProtocolHandler ["https-openssl-nio2-443"]
27-Aug-2018 15:39:27.591 严重 [main] org.apache.catalina.util.LifecycleBase.handleSubClassException Failed to initialize component [Connector[org.apache.coyote.http11.Http11Nio2Protocol-443]]
 org.apache.catalina.LifecycleException: Protocol handler initialization failed
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:935)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:136)
        at org.apache.catalina.core.StandardService.initInternal(StandardService.java:533)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:136)
        at org.apache.catalina.core.StandardServer.initInternal(StandardServer.java:852)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:136)
        at org.apache.catalina.startup.Catalina.load(Catalina.java:633)
        at org.apache.catalina.startup.Catalina.load(Catalina.java:656)
        at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
        at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
        at java.lang.reflect.Method.invoke(Method.java:498)
        at org.apache.catalina.startup.Bootstrap.load(Bootstrap.java:306)
        at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:491)
Caused by: java.lang.IllegalArgumentException: Cannot recover key
        at org.apache.tomcat.util.net.AbstractJsseEndpoint.createSSLContext(AbstractJsseEndpoint.java:114)
        at org.apache.tomcat.util.net.AbstractJsseEndpoint.initialiseSsl(AbstractJsseEndpoint.java:85)
        at org.apache.tomcat.util.net.Nio2Endpoint.bind(Nio2Endpoint.java:158)
        at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:1044)
        at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:540)
        at org.apache.coyote.http11.AbstractHttp11Protocol.init(AbstractHttp11Protocol.java:74)
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:932)
        ... 13 more
Caused by: java.security.UnrecoverableKeyException: Cannot recover key
        at sun.security.provider.KeyProtector.recover(KeyProtector.java:328)
        at sun.security.provider.JavaKeyStore.engineGetKey(JavaKeyStore.java:146)
        at sun.security.provider.JavaKeyStore$JKS.engineGetKey(JavaKeyStore.java:56)
        at sun.security.provider.KeyStoreDelegator.engineGetKey(KeyStoreDelegator.java:96)
        at sun.security.provider.JavaKeyStore$DualFormatJKS.engineGetKey(JavaKeyStore.java:70)
        at java.security.KeyStore.getKey(KeyStore.java:1023)
        at org.apache.tomcat.util.net.jsse.JSSEUtil.getKeyManagers(JSSEUtil.java:246)
        at org.apache.tomcat.util.net.openssl.OpenSSLUtil.getKeyManagers(OpenSSLUtil.java:79)
        at org.apache.tomcat.util.net.AbstractJsseEndpoint.createSSLContext(AbstractJsseEndpoint.java:112)
        ... 19 more

27-Aug-2018 15:39:27.594 信息 [main] org.apache.coyote.AbstractProtocol.init Initializing ProtocolHandler ["ajp-nio-8009"]
27-Aug-2018 15:39:27.601 信息 [main] org.apache.tomcat.util.net.NioSelectorPool.getSharedSelector Using a shared selector for servlet write/read
27-Aug-2018 15:39:27.602 信息 [main] org.apache.catalina.startup.Catalina.load Initialization processed in 1461 ms
27-Aug-2018 15:39:27.627 信息 [main] org.apache.catalina.core.StandardService.startInternal Starting service [Catalina]

在debug的时候,我们看到官网写着这么几句话:

也就是说,如果我们配置的keystore密码与key密码不相同的话,不但要设置keystore,还得设置key密码。

于是添加如下:certificateKeyPassword="**************" 到配置当中

<Connector port="443" protocol="org.apache.coyote.http11.Http11Nio2Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true">
        <SSLHostConfig>
            <Certificate certificateKeystoreFile="D:/apachetomcat9_0_11/conf/test.keystore" certificateKeystorePassword="123456" 
                certificateKeyPassword="thepasswdofcertificate"/>
        </SSLHostConfig>
</Connector>

 

【Bug修复】java.lang.IllegalArgumentExceptionjava.lang.NullPointerException 问题解决修复
weixin_44158429的博客
01-10 3829
【Bug修复】java.lang.IllegalArgumentExceptionjava.lang.NullPointerException 问题解决修复。 问题说明; 分析解决; 相关代码; 【**根本原因**】若路由跳转页面没传参数时,使用@Autowire初始化参数对象无效,对象为null 【**解决方案**】使用常规获取跳转参数的方式:getIntent.getString() 【**代码定位**】可从log7、8、9中 model.BugActivity.initBinding定位相关类
Tomcat SSL Failed to load keystore type JKS with path 系统找到指定文件
supsx的专栏
08-23 1万+
Tomcat6 启用 SSL,配置 <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth=
Tomcat服务器启动报错
m0_49226951的博客
08-03 339
问题:在IDEA中打开Tomcat服务器的时候报的错 解决办法: 先检查代码是否有语法错误,一般在控制台打印的日志里面会说明 如果确定以及肯定代码没有问题,一般可以有下面三种办法可以尝试。 方式一,在Artifacts里面将工程删掉,重新导入工程。 方式二:重新将Tomcat配置一下 方式三:将C:\Users\26292\.IntelliJIdea2018.3\system\tomcat下面的工程文件的缓存删除掉,这个路径是2019版本的IDEA的路径 【总】以上方式是一般尝试的解决...
Tomcat配置https
最新发布
m0_46456908的博客
08-08 513
上述内容添加到service块的下面。
tomcat启动时报错:严重: Failed to load keystore type JKS with path C:\Users\36400/.keystore due
weryou的专栏
05-11 1万+
2018-5-11 0:41:44 org.apache.tomcat.util.net.jsse.JSSESocketFactory getStore严重: Failed to load keystore type JKS with path C:\Users\36400/.keystore due to C:\Users\36400\.keystore (系统找到指定的文件。)java.io...
Failed to load keystore type JKS with path tomcat.keystore due to D:/workspace/.metadata/.plugins/or...
hellostory的专栏
01-30 715
现象:使用Eclipse Helios 3.6启动Tomcat出现如下错误: ============================================= 2011-1-30 10:13:12 org.apache.tomcat.util.net.jsse.JSSESocketFactory getStore严重: Failed to load keystore type JKS...
OpenSSL 把cer证书链以及key文件生成keystoretomcat https配置
小V的博客
06-21 1万+
OpenSSL 把cer证书链以及key文件生成keystoretomcat https配置
spring boot 配置https 报错 java.lang.IllegalArgumentException: Private key must be accompanied by cer
寂夜了无痕的博客
05-28 810
spring boot 配置https 报错 java.lang.IllegalArgumentException: Private key must be accompanied by cer
Tomcat和Nginx配置https
qq_42599735的博客
06-22 804
产品关于HTTPS配置 Tomcat版本:apache-tomcat-9.0.44 测试时,Tomcat使用的证书是JDK中的keytool工具生成的自签名证书 JDK版本:JDK-11.0.10 Nginx版本:1.19.9 测试时,Nginx使用的证书由OpenSSL生成,需要先安装OpenSSL,Linux使用yum安装(Redhat)或apt安装(Ubantu),windows安装后续说明。 Tomcat配置https 首先确保本地有jdk的环境,可以使用java -version
Tomcat配置SSL
崔成龙 . 勇往直前
11-03 9919
本篇博文讲概念,只介绍如何在Tomcat配置SSL,以支持Https协议。如果图中正文描述符,以正文为主,部分图片是借鉴的。 一、创建证书        证书是单点登录认证系统中很重要的一把钥匙,客户端于服务器的交互安全靠的就是证书;这里由于是演示,所以就自己用JDK自带的keytool工具生成证书;如果以后真正在产品环境中使用肯定要去证书提供商去购买,证书认证
tomcat 开启https 配置keystore,解决tomcat启动报错MalformedURLException unkmown protocol:d
yangyang_VV的博客
03-22 3730
tomcat开启https
Tomcat 7下SSL配置出现异常: '/root/.keystore' did not find a matching property
weixin_34393428的博客
01-20 534
今天把TOMCAT6换成TOMCAT7之后,原先正常使用的SSL出现了如下异常:Settingproperty'keystoreFile'to'/root/.keystore'didnotfindamatchingproperty. FailedtoloadkeystoretypeJKSwithpath/root/.keystored...
KeyCloak 用户查看自己的profile报错“failed to initialize keycloak“
杨江的IT分享专栏
09-18 414
KeyCloak
Tomcat 配置keystoreFile和keystorePass 启动异常解决
Enjoy life,Enjoy coding!!
03-16 1万+
可能是根本版本有关系 我的版本是:apachetomcat6.0.39 错误配置: <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false"
Keystore was tampered with, or password was incorrect
AinUser的博客
12-18 757
# 问题描述 这里操作证书,输入的并是你秘钥库密码,而是默认密码 (如果你没有明确设置过) 这里默认密码为:changeit
java.lang.IllegalArgumentException 异常报错完美解决
辰小白
07-12 16万+
目录 修改JDK使用版本 修改开发工具idea配置(eclipse的直接跳过这个看下面) 修改开发工具eclipse配置 学习spring依赖注入的时候碰到这个坑,折腾了许久,录一下以防其他小伙伴入坑! 该异常主要原因是因为JDKSpring版本一致。要么更换jdk,要么重新下载符合jdk的springjar包 我本地装了两个JDK版本,一个1.8,一个1.7,原本以为只要修改一...
错误提示:java.lang.IllegalArgumentException解决方法
热门推荐
飞翔射手座
03-09 22万+
我的程序出现这个错误的原因是编译环境和运行环境的jdk版本一致,首先是spring mvc的版本是3.*的,而我本机的jdk是jdk8,查阅资料后得知他俩的兼容性是很好,有问题,只能用jdk7及以下的版本,所以我就在myeclipse中直接导入了一个jdk1.7,但是这样依然没有解决,这是因为,这样导入后,我的运行环境和编译环境一致,所以就要经过以下的设置: 选中项目,单击右键-》Prope
java.lang.IllegalArgumentException: Can't convert argument: null
猫儿
02-13 2万+
java.lang.IllegalArgumentException: Can't convert argument: null 这是由于eclipse在修改项目名的时候,eclipse自动更新部署了web.xml文件 并且重新生成了xml文件的头部声明. 新增了java的命名把这个javaee去掉就可以了.一般情况下他会修改servlet的配置 修改项目后之后的web.xml仔细观察标签
SpringBoot 配置 https 报错 Password verification failed
qq_38431321的博客
02-19 2935
报错信息: Caused by: java.lang.IllegalArgumentException: Keystore was tampered with, or password was incorrect at org.apache.tomcat.util.net.AbstractJsseEndpoint.createSSLContext(AbstractJsseEndpoint.java:99) at org.apache.tomcat.util.net.AbstractJsseEndpoin
在Linux上部署tomcat程序,启动报错could not create default ssl context
08-05
<think>嗯,用户遇到了在Linux上部署Tomcat时启动失败的问题,具体报错是"could not create default SSL context"。这个错误通常和SSL证书配置有关,需要一步步排查。 用户可能是个运维人员或者开发人员,正在部署Web应用。从报错信息看,ta应该已经完成了基础环境搭建,但在SSL配置环节卡住了。用户情绪可能比较着急,因为部署被中断了。 先梳理下可能的故障点。SSL上下文创建失败通常有三个核心原因:证书文件缺失或路径错误、密钥库密码匹配、证书格式问题。需要引导用户逐一检查这些环节。 证书路径是最常见的坑。Tomcat默认会在conf目录找keystore文件,但用户可能把证书放在其他位置了。要提醒ta检查server.xml里的keystoreFile路径,特别是Linux的绝对路径区分大小写这点容易忽略。 密钥库密码也经常出问题。用户可能混了生成密钥库时设置的密码,或者把密钥库密码和证书密码搞混了。需要让ta确认catalina.sh或setenv.sh里配置的JKS密码是否准确。 证书格式转换容易被忽略。很多用户直接从云服务商下载的证书是PEM格式,但Tomcat需要JKS或PKCS12格式。要提醒用keytool转换时注意-alias参数的一致性,这个参数匹配会导致后续步骤失败。 考虑到用户可能熟悉Linux环境,建议里需要包含具体的命令行操作示例,比如用openssl验证证书的指令。还要提醒权限问题Tomcat进程用户必须有证书文件的读取权限。 最后给出两个验证方案很关键。建议用户先用keytool list检查密钥库完整性,再用简易curl测试。这样能分阶段定位问题,比直接重启Tomcat盲目试错高效得多。 用户引用中提到Spring的动态加载方案,但当前场景Tomcat是独立进程,动态加载实现成本太高,建议普通用户尝试。还是应该优先解决基础配置问题。 如果用户后续补充报错细节,比如具体到哪行证书加载失败,可以进一步分析。但现在给出的通用方案应该能覆盖80%的情况。特别要强调查看catalina.out完整日志的重要性,很多用户只看最后几行报错会遗漏关键信息。</think>针对Linux系统部署Tomcat时出现"could not create default SSL context"错误,以下是系统化的排查解决方案: --- ### **错误原因分析** 此错误通常由SSL/TLS证书配置问题引发,具体可能涉及: 1. **证书文件缺失或路径错误** 2. **密钥库(Keystore)密码错误** 3. **证书格式兼容**(如未转换为JKS/PKCS12) 4. **证书域名/IP匹配** 5. **Tomcat未正确读取`JAVA_HOME`环境变量** --- ### **解决方案步骤** #### **1. 验证证书路径权限** 在`server.xml`中检查SSL连接器配置(示例): ```xml <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true"> <SSLHostConfig> <Certificate certificateKeystoreFile="/path/to/your/keystore.jks" certificateKeystorePassword="your_password" type="RSA" /> </SSLHostConfig> </Connector> ``` - **关键检查项**: - 确认`certificateKeystoreFile`的**绝对路径**正确 - 确保Tomcat用户有读取权限: ```bash chmod 644 /path/to/your/keystore.jks chown tomcat:tomcat /path/to/your/keystore.jks # 用户组根据实际调整 ``` #### **2. 检查密钥库密码** - 用以下命令验证密码正确性: ```bash keytool -list -v -keystore /path/to/keystore.jks ``` 输入密码后若提示`Keystore was tampered with, or password was incorrect`,则需重置密码或使用正确密码。 #### **3. 确保证书格式兼容** - **转换PEM证书为JKS格式**(适用于Let's Encrypt等): ```bash openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out keystore.p12 -name tomcat keytool -importkeystore -srckeystore keystore.p12 -srcstoretype PKCS12 -destkeystore keystore.jks ``` - 在`server.xml`中指定类型: ```xml <Certificate ... type="RSA" certificateKeystoreType="PKCS12" /> ``` #### **4. 验证证书域名匹配** - 检查证书包含的域名是否服务器实际域名/IP一致: ```bash keytool -list -v -keystore keystore.jks | grep "Owner:" ``` #### **5. 确认JAVA环境变量** - 在`catalina.sh`中设置`JAVA_HOME`(位于Tomcat的`bin`目录): ```bash export JAVA_HOME=/usr/lib/jvm/java-11-openjdk-amd64 # 路径根据实际JDK安装位置修改 export JRE_HOME=$JAVA_HOME/jre ``` #### **6. 检查端口冲突** - 确认`8443`(或其他SSL端口)未被占用: ```bash netstat -tulnp | grep 8443 ``` --- ### **动态加载证书(无需重启)** 若需**重启Tomcat更新证书**,可参考Spring的动态加载机制[^1]: ```java // 示例:动态创建SSLContext KeyStore keyStore = KeyStore.getInstance("JKS"); try (InputStream is = new FileInputStream("/path/to/keystore.jks")) { keyStore.load(is, "password".toCharArray()); } SSLContext sslContext = SSLContexts.custom() .loadKeyMaterial(keyStore, "password".toCharArray()) .build(); // 应用到Tomcat的Connector(需自定义扩展) ``` > **注意**:此方案需开发自定义组件,普通用户建议通过重启生效。 --- ### **日志分析** - 查看完整错误日志定位根源: ```bash tail -n 200 /opt/tomcat/logs/catalina.out # 路径根据实际安装位置调整 ``` 重点关注`Caused by:`之后的堆栈信息,如证书链缺失(`SunCertPathBuilderException`[^3])或文件权限错误。 --- ### **验证步骤** 1. 启动Tomcat: ```bash cd /opt/tomcat/bin && ./startup.sh ``` 2. 测试HTTPS访问: ```bash curl -vk https://localhost:8443 ``` 若输出包含`SSL certificate verify OK`,则表明SSL配置成功。 --- ### **常见问题总结** | 现象 | 解决方案 | |---------------------|----------------------------| | `Keystore was tampered with` | 重置密钥库密码 | | `Unsupported certificate type` | 转换证书为JKS/PKCS12格式 | | `Permission denied` | 修正证书文件权限 | | `Address already in use` | 更换SSL端口或释放占用端口[^2] | > **提示**:若问题持续,尝试使用`-Djavax.net.debug=ssl`参数启动Tomcat,获取详细SSL握手日志: > ```bash > export CATALINA_OPTS="-Djavax.net.debug=ssl" > ./catalina.sh run > ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值