tomcat8的apr模式配置SLL证书

应公司的的推广需求,要求所有的一些广告页面都必须可以被https访问,网上搜了一些方法,发现很多都没有写下什么环境和版本下的配置很多都是转载,现在写下自己的碰到的一些问题和解决方法。
1.环境和配置:
服务器操作系统,Windows Server 2012 R2
JDK版本:jdk1.8_074
tomcat版本:tomcat8.0.39
服务器为国内租用的云服务器
域名为公司正规注册的域名
(本文中蓝色的文字都是根据你实际的情况进行修改不要复制本文当中的)

2.所用的文件与工具:
证书: test.jks(证书根据自己实际情况来看,文本最终需要的是一个cer文件,和一个key文件)
JDK自带的keytool工具
jks2pfx这个证书转换工具(jks2pfx这个工具中自带了openssl工具)


3.关于证书文件,网上有很多自己生成证书的,这里不做介绍,我的证书是在域名购买的网站上直接申请的OV免费证书,关于证书OV级别 EV等,请自己查找,这里也不在叙述,我这里的证书文件为test.jks


4.关于tomcat的工作方式,虽然我不是做运维,但是tomcat确实有三种工作模式,bio,nio,apr,三种工作模式根据网上的资料来说性能的大小依次是bio<nio<apr,而且apr相对于nio性能提升很明显
那怎么判断你的tomcat是以什么方式启动的呢?如下图

这是tomcat启动完成的语句,其中画横线的地方为tomcat中的conf文件夹下 server.xml里面的<Connector>的启动方式,后面是端口号。
如果是配置nio模式 就是如下配置方式
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />

这样配置后,tomcat启动结尾就是 http-nio-你配置的端口号,和ajp-nio-端口号
如果是配置apr模式 就是http-apr-你配置的端口号,和ajp-apr-端口号,和http-apr-443
现在确定的是需要用apr模式来配置SSL证书文件,既然有高效的模式肯定是要用的。
tomcat8自带的就有 apr SSL引擎,网上很多篇文章都是告诉你 注销掉conf\server.xml中的这一行
<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />

但是我发现只要注销掉这一行,无论你怎么配置<Connector>里的 protocol为"org.apache.coyote.http11.Http11AprProtocol",都无法启动apr模式,tomcat自动启动为nio模式,所以很多配置方法都最终配置成了Nio模式。
所以这一行不能注销,我修改了<Connector>的配置如下
<Connector port="443" protocol="org.apache.coyote.http11.Http11AprProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"
keystoreFile="conf\test.jks"
keystorePass=“你证书的密码”
clientAuth="false" sslProtocol="TLS"
/>
启动发现错误,SSL无法找到SSLCertificateFile在tomcat刚启动时就报错,然后自动转变为Nio模式,而且一样不能通过https访问你的任何页面。
后来经过一番折腾终于在一个前辈的博客当中找到了线索(在此感谢这位前辈)http://www.cnblogs.com/zhuawang/p/5125382.html

关键的是这一句,APR的Tomcat,需要使用server.key和server.cer文件,并按mod_ssl的语法来更新Server.xml文件配置
5.好,现在就去找到jks中的.key和.cer这两个文件,JDK的安装目录当中的bin目录下可以看到有一个keytool的exe文件,这个文件可以在开始菜单中用cmd进入到你JDK 安装的路径,比如安装在D:\java\jdk1.8.074\bin,先把你的test.jks文件放到这个路径下面,那么你就通过cmd进入到这个文件夹下,运行keytool工具(其中下划线为空格)
keytool_-export_-alias_sksalias_-keystore_test.jks_-storepass_123456_-file_scert.cer
其中蓝色的部分根据自己的情况来改,第一个-alias是别名的意思,也就是别名是sksalias,第二个蓝色的就是你的jks文件了。 然后就是你的证书密码,最后是给要导出的cer文件取一个名字。这个文件会保存在D:\java\jdk1.8.074\bin,也就是和keytool一个文件夹下。
下面获得key文件,需要两步
1)用keytool把test.jsk转换为PKCS12,命令如下(其中下划线为空格)
keytool_-importkeystore_-srckeystore_test.jks_\_-destkeystore_outtest.p12_-deststoretype_PKCS12
(命令是可以使用的,之间有空格,调一下斜杠的位置,我第一次没成功)
这句是把test.jks 转化成outtest.p12文件
2)再用openssl 将P12文件转成key
openssl_pkcs12_-in_outtest.p12_-out_outfinaltest.pem_-nodes
6.将cer和key这两个文件放入tomcat的conf的server.xml里如下配置
<Connector port="443" 
protocol="org.apache.coyote.http11.Http11AprProtocol" 
enableLookups="true" 
disableUploadTimeout="true"  
acceptCount="100" maxThreads="200"  
scheme="https" 
secure="true" 
SSLEnabled="true"  
SSLCertificateFile="scert.cer的绝对路径"  
SSLCertificateKeyFile="outfinaltest.key的绝对路径"  
SSLVerifyClient="none" sslProtocol="TLS"/>
7.重启tomcat,大功告成!
 
以下是常用的证书格式用keytool 和OpenSSL转换的命令,在windows的cmd中执行,导出的文件在同级目录

1. cer格式——>JKS (keytool 为JDK自带的,可以在bin目录下找到)

keytool -import -alias mycert -file d:\def.cer -keystore mykeystore.jks (导入证书到keystore)

2. JKS——>cer格式

keytool -import -alias mycert- keystore mykeystore.jks -file d:\def.cer (从keystore导出)

3. p12——>pem (OpenSSL为loadrunner自带的,可以在Vgen的bin目录下找到)

OpenSSL> pkcs12 –in d:\tomcatclient.p12 –out d:\key.pem

4. cer格式——>pem

x509 –in d:\wer.cer –inform –out d:\ope.pem


以上是2017-04-18 14:43之前更新的内容,但是后来用ssl状态验证的网站进行验证,发现证书链不完整的问题,对之前的SSL部署,进行补充

     SSL证书状态,检查地址(亚洲诚信):https://www.trustasia.com/tools-ssl-state
   
   以下是之前的tomcat的server.xml部署,但是这样部署会有SSL证书链不完整,所以经过研究 发现,证书颁发,不是仅仅两者A颁发给B,存在多层的颁发,所以这个证书链要完整例如以下的状态(根据上面测试工具测试百度的结果)
   
   关于证书链的正确的tomcat配置如下:
    
    <Connector protocol="org.apache.coyote.http11.Http11AprProtocol"
           port="443"
           enableLookups="true" disableUploadTimeout="true" 
           acceptCount="100"  maxThreads="200"
           scheme="https" secure="true" SSLEnabled="true"
           SSLProtocol="SSLv2+SSLv3+TLSv1+TLSv1.1+TLSv1.2"
            SSLCertificateFile="C:\tomcat8\conf\www.xxxxx.com.pem_nochain.crt"
            SSLCertificateKeyFile="C:\tomcat8\conf\www.xxxxx.com.key"
            SSLCertificateChainFile="C:\tomcat8\conf\www.xxxxx.com_ca.crt"/>

其中的SSLCertificateKeyFile文件就是之前配置中的key文件,SSLCertificateFile和SSLCertificateChainFile是证书文件和包含了证书链的文件,这两个文件的制作请参考这篇帖子

全面讲解Tomcat下SSL证书的配置(三)

全面讲解Tomcat下SSL证书的配置(四)

得到了这两个crt文件之后,放入tomcat的conf文件夹下,按照如上的配置,重启tomcat 再用SSL测试工具进行测试,证书链状态完整

posted on 2017-04-18 14:43  winsker  阅读(...)  评论(...编辑  收藏

导航