zoukankan      html  css  js  c++  java
  • Tomcat7 安装StartSSL证书笔记

    1.Tomcat-Native安装

    使用StartSSL,Tomcat必须用apr方式启动(apr方式对于静态的内容,比默认的bio效率要高很多倍)

    • Windows下tomcat-native安装

    直接复制tcnative-1.dll到bin目录下即可(需要重启Ecplise)才能体现

    注意:不同的Tomcat,对应的tomcat-native版本也不同,向下兼容,可以去下载最新版的

    比如: http://apache.fayea.com/tomcat/tomcat-connectors/native/1.1.32/binaries/tomcat-native-1.1.32-win32-bin.zip

    PS:tomcat-native 一般都会带一个已经编译好的绿色openssl.exe,很好用,下面会用到

    PS: eclipse可能不会自动带上这个参数,还是以bio模式运行,那就 在Run > Run Configuration > Tomcat xxx > Arguments的VM arguments里写上参数 

    -Djava.library.path="dll的放置路径"

    • Linux下tomcat-native安装

    一般不用下载,在tomcat/bin目录下就有tomcat-native.tar.gz文件

    先下载依赖包,注意需要装对应版本的openjdk-devel,其实就是openjdk的jdk,默认安装openjdk,其实是jre

    $ yum install gcc gcc-java apr apr-devel openssl openssl-devel libgcc.x86_64
    或者
    $ apt-get install libapr1.0-dev libssl-dev...

    然后,一般这样就可以了(注意apr的路径,如果默认路径,一般可以不配置,用tomcat的执行账户编译运行)

    一般在 $tomcat/bin/tomcat-native-1.1.32-src/jni/native 下编译

    $ ./configure --with-apr=/usr/bin/apr-1-config
    $ --with-java-home=/usr/lib/jvm/java-1.7.0-openjdk.x86_64/
    $ --with-ssl=yes
    $ --prefix=/home/www/tomcat
    $ make
    $ make install

    设置环境变量(可以设定到/etc/profile 或者.bash_profile里)

    export LD_LIBRARY_PATH=/home/www/tomcat/lib
    export LD_RUN_PATH=/home/www/tomcat/lib

    安装完之后,启动tomcat

    一月 13, 2015 3:43:58 下午 org.apache.coyote.AbstractProtocol init
    信息: Initializing ProtocolHandler ["http-apr-8888"]
    一月 13, 2015 3:43:58 下午 org.apache.coyote.AbstractProtocol init
    信息: Initializing ProtocolHandler ["http-apr-443"]
    一月 13, 2015 3:43:58 下午 org.apache.coyote.AbstractProtocol init
    信息: Initializing ProtocolHandler ["ajp-apr-8009"]

    http-apr-8888........说明tomcat已经在使用apr模式(默认是 http-bio-8888)

    2.申请StartSSL免费证书

    申请StartSSL证书,请参考 http://www.cnblogs.com/kreo/p/4221379.html

    申请完后你会有一下三个文件,ssl.crt(公钥),ssl.key(密钥),ssl.p12(PKCS12格式的证书)

    • 查看证书的内容
    $ keytool -list -rfc -keystore ssl.p12 -storetype pkcs12 

    如下,记下别名(alias),本文是 startcom pfx certificate (一般都是这个)

    • 生成keystore
    $ keytool -importkeystore -srckeystore ssl.p12 -srcstoretype PKCS12 -destkeystore keystore -srcalias "startcom pfx certificate" -destkeypass 123456

    srcalias 是上面查到的别名

    destkeypass 是默认加密密码,可能会忽略,重新输入一次即可

    执行完之后,会在目录下生成名为keystore的文件

    • 合并证书

    这步主要是为了FireFox,因为FireFox会要求提供根证书

    下载StartSSL CA证书

    http://cert.startssl.com/certs/ca.pem

    下载StartSSL Class1 Sub CA

    http://cert.startssl.com/certs/sub.class1.server.ca.pem

    然后把ca.pem和sub.class1.server.ca.pem,加在ssl.crt后面

    记事本加一下就可以,这里要注意,每个证书都要有

    -----BEGIN CERTIFICATE-----

    -----END CERTIFICATE-----

    这2个开始结束标记,第一个结束和第二个开始标记不能在一行,不然会报错

    • 使用OpenSSL加解密功能,改变加密方式,使Tomcat不用启动就输入私匙密码
    $ copy ssl.key ssl.key.tmp   
    $ openssl rsa -in ssl.key.tmp -out ssl.key  

    3.Tomcat配置证书

    <Connector SSLEnabled="true" URIEncoding="UTF-8" clientAuth="false" 
            SSLCACertificateFile="D:/WorkSpace/ssl/ssl.crt" 
            SSLCertificateFile="D:/WorkSpace/ssl/ssl.crt" 
            SSLCertificateKeyFile="D:/WorkSpace/ssl/ssl.key" 
            keystoreFile="D:/WorkSpace/ssl/keystore" keystorePass="changeit" keystoreType="PKCS12" 
            maxThreads="150" port="443" protocol="HTTP/1.1" scheme="https" secure="true" sslProtocol="TLS"/>  

    4.把证书导入jre

    $ keytool -import -alias cacerts -keystore "%JAVA_HOME%jrelibsecuritycacerts" -file D:ssl.crt -trustcacerts

    最好所有jre都导一遍,以免出现PKIX path building failed错误

  • 相关阅读:
    c# mvc action 跳转方式
    where T : new() 的含义
    HTML5 Dataset data-属性
    EF6 教程
    C写的AES(ECB/PKCS5Padding)
    【转载】openwrt: Makefile 框架分析
    SCP 命令【转】
    HTTP协议详解(转载)
    bootstrap模板
    拖拽插件
  • 原文地址:https://www.cnblogs.com/kreo/p/4221467.html
Copyright © 2011-2022 走看看