tomcat 服务器绑定域名，并升级https(pfx)记录

概述：

公司开发小程序，后端程序必须是https，需要将原来的http升级为https，并绑定域名。

1. 先设置域名，测试域名能否访问

这个最简单，只需要修改conf/server.xml文件中的配置

    
<Engine name="Catalina" defaultHost="x.cdzkck.cn">  <!-- 只需要修改这里将域名填入，下面的host主机名修改即可-->
​
​
      <Realm className="org.apache.catalina.realm.LockOutRealm">
​
        <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
               resourceName="UserDatabase"/>
      </Realm>
​
      <Host name="x.cdzkck.cn"  appBase="webapps"       <!-- host名更换成域名即可-->
            unpackWARs="true" autoDeploy="true">
​
​
        <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="localhost_access_log" suffix=".txt"
               pattern="%h %l %u %t &quot;%r&quot; %s %b" />
​
      </Host>
    </Engine>

2. 升级http为https

步骤都大同小异，我的整数是fpt文件。

• 证书文件（domain name.pfx）：以.pfx为后缀或文件类型。

• 密码文件（pfx-password.txt）：以.txt为后缀或文件类型。

（1）、在Tomcat安装目录下新建cert目录，将解压的证书和密码文件拷贝到cert目录下。

（2）、修改配置文件server.xml，并保存。

文件路径：Tomcat安装目录/conf/server.xml

去掉以下内容的注释（默认是注释的）：

<Connector  port="8443"
  protocol="HTTP/1.1"
  port="8443" SSLEnabled="true"
  maxThreads="150" scheme="https" secure="true"
  clientAuth="false" sslProtocol="TLS" />

复制

修改<Connector port="443"标签内容

<Connector port="443"   #port属性根据实际情况修改（https默认端口为443）。如果使用其他端口号，则您需要使用https://yourdomain:port的方式来访问您的网站。
    protocol="HTTP/1.1"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    keystoreFile="Tomcat安装目录/cert/domain name.pfx" #证书名称前需加上证书的绝对路径，请使用您证书的文件名替换domain name。
    keystoreType="PKCS12"
    keystorePass="证书密码"  #请替换为密码文件pfx-password.txt中的内容。
    clientAuth="false"
    SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
    ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>

复制

（3）、配置web.xml文件，开启HTTP强制跳转HTTPS。

在文件</welcome-file-list>后添加以下内容：

<login-config>  
    <!-- Authorization setting for SSL -->  
    <auth-method>CLIENT-CERT</auth-method>  
    <realm-name>Client Cert Users-only Area</realm-name>  
</login-config>  
<security-constraint>  
    <!-- Authorization setting for SSL -->  
    <web-resource-collection >  
        <web-resource-name >SSL</web-resource-name>  
        <url-pattern>/*</url-pattern>  
    </web-resource-collection>  
    <user-data-constraint>  
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>  
    </user-data-constraint>  
</security-constraint>

 

3. 出现问题： 升级https后，无法登陆

正常情况下已经是没有问题了，不过我死活登不上, 试了很多方法都不行，结果发现是防火墙的问题，而且有点灯下黑的意味。。。本来是要放行443端口的，我查看防火墙的时候，原来已经放行了，我就没有管了，但是结果恰恰是这个放行没有起作用！！！！导致我找了很久的问题。

 

上面那个就是服务器自己设置好的，我看到443已经放行了，以为没问题了，结果。。。后来我看程序那一栏针对的是System，估计就是这个限制了，我也搞不懂。。不过我直接重新禁用，然后再开启另一个新的。问题得以解决。