跳至主要内容

为 Tomcat 增加 GoDaddy SSL 证书

为了信息安全,一般网站的用户注册和登录过程会使用加密的 HTTP(即HTTPS)传输用户的帐号和密码,这样可以防止“中间人”盗取帐号资料。

假如你的网站是用 Tomcat 直接搭建的,那么主要需要如下几个步骤:
1、购买 SSL 证书。
2、在你的服务器上生成一个私密钥匙(Private Key)。
3、在 SSL 证书销售商那里签名你的 Key。
4、将最终生成的认证证书导入 Tomcat KeyStore
5、修改 Tomcat 的配置。

下面详细讲解。

1、购买 SSL 证书


为网站添加 HTTPS 功能第一步需要购买一个SSL认证证书,目前使用比较广泛的有:

VeriSign 典型客户有 Microsoft Hotmail
Thawte 典型客户有 Google Gmail

不过这些品牌的证书价格不菲,假如你的网站只是想提供加密传输的话,可以购买 GoDaddy 的廉价SSL证书,目前报价是 $49.99/年,不过你可以通过推销链接以 $12.99/年买到,比如这个推销链接:http://www.godaddy.com/ssl/ssl-certificates.aspx?isc=IAPtssl1

2、生成私密钥匙

使用OpenSSL工具可以很容易生成私钥,不过由于我们准备给Tomcat使用,所以直接使用keytool更为方便。
转到 Tomcat 的安装目录,运行
$keytool -keysize 2048 -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore

然后它会提示你设置一个密码,使用Tomcat常用的“changeit”即可,然后根据提示输入DN信息:
输入keystore密码:changeit  
再次输入新密码: changeit
您的名字与姓氏是什么?
  [Unknown]:  yourdomain.com
您的组织单位名称是什么?
  [Unknown]:  Networking
您的组织名称是什么?
  [Unknown]:  yourdomain.com
您所在的城市或区域名称是什么?
  [Unknown]:  Shenzhen
您所在的州或省份名称是什么?
  [Unknown]:  Guangdong
该单位的两字母国家代码是什么
  [Unknown]:  CN
CN=floatmark.com, OU=Networking, O=Floatmark.com, L=Shenzhen, ST=Guangdong, C=CN 正确吗?
  [否]:  y
输入<tomcat>的主密码 (如果和 keystore 密码相同,按回车):<直接回车>

完成后会在当前目录产生一个 tomcat.keystore 文件,然后在此基础上生成证书签名请求文件:
$ keytool -certreq -keyalg RSA -alias tomcat -file tomcat-yourdomain.csr -keystore tomcat.keystore


同样地,当它问起密码时,输入“changeit”即可,完成后你会得到一个 tomcat-yourdomain.csr 文件。

3、签名你的私钥

登录到你购买 SSL 证书商(比如 GoDaddy),根据提示会进入要求输入 CSR  的页面,用文本编辑器打开刚才生成的 tomcat-yourdomain.csr 文件,把里面的文本内容复制粘贴到页面的表单里即可。SSL 证书商会根据你的域名发送一封验证邮件到域名注册者的Email(所以你要提前注意你的域名注册的Email地址是什么,如果是错误的话需要先修正,否则收不到验证Email)。这个过程可能需要及分钟或者几小时,收到验证Email之后点击里面的链接地址就完成私钥签名了。

4、将证书导入 Tomcat

登录到你购买 SSL 的证书商,下载你的网站证书文件,在 GoDaddy 里你下载会得到一个压缩包,里面放有你的网站证书文件 yourdomain.com.crt,另外还有 GoDaddy 自己的证书(gd_cross_intermediate.crt,gd_intermediate.crt,gd_bundle.crt),这些都需要导入 tomcat 的 keystore 里的。
GoDaddy 的官方教程有些许错误,经过实验发现正确的过程如下:
a、到这里(https://certs.godaddy.com/anonymous/repository.seam)下载 valicert_class2_root.crt 文件,然后导入到 tomcat.keystore:
$ keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file valicert_class2_root.crt

b、导入 gd_cross_intermediate.crt,gd_intermediate.crt 和你网站的证书 yourdomain.com.crt:

$ keytool -import -alias cross -keystore tomcat.keystore -trustcacerts -file gd_cross_intermediate.crt
$ keytool -import -alias intermed -keystore tomcat.keystore -trustcacerts -file gd_intermediate.crt
$ keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file yourdomain.com.crt


5、修改 Tomcat 配置

编辑 Tomcat 的主配置文件 server.xml,在标准的 Connector 下面增加一个 HTTPS 的 Connector,如下:

<Connector port="80" protocol="HTTP/1.1" 
               connectionTimeout="20000" 
               redirectPort="443" />
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
               keystoreFile="/PATH/TO/YOUR/TOMCAT/tomcat.keystore"
               keystorePass="changeit" />

其中第二行是新增加的,重启 Tomcat 之后,访问 https://yourdomain.com 应该能看到安全链接的效果。

6、其他

假如你在 Tomcat 之前使用了 Apache Httpd、nginx 等方向代理,那么就需要把上面的第2,4,5步骤替换成相应的方法,详细的可以参照 GoDaddy 的官方文档:http://community.godaddy.com/help/category/ssl-certificates/186

参考资料:

Generating a Certificate Signing Request (CSR) - Tomcat 4.x/5.x/6.x
http://community.godaddy.com/help/5276/generating-a-certificate-signing-request-csr--tomcat-4x5x6x

Installing an SSL Certificate in Tomcat 4.x/5.x/6.x
http://community.godaddy.com/help/article/5239

A few frequently used SSL commands
http://shib.kuleuven.be/docs/ssl_commands.shtml
标签:

评论

发表评论

此博客中的热门博文

Apache Cassandra 0.7 的集群配置

跟 Hadoop/HBase 一样, Apache Cassandra 也是 NoSQL 产品中最为重要的成员之一,跟 HBase 相比,因为 Cassandra 使用了一种去中心化的模式(类似memcached集群), 使用 Cassandra 搭建 NoSQL 集群更为简单容易,特别是在 0.7 版本之后,下面简述使用 Cassandra 0.7 搭建一个集群。 @ivarptr 前提条件 a、准备3台或以上的计算机。下面假设有3台运行Linux操作系统的计算机,局域网的IP地址分别为 192.168.0.100, 192.168.0.101 和 192.168.0.102。 b、Java 1.6。 c、到 这里下载 0.7.x 版本的Cassandra 二进制发行包。 1、基本配置 挑选其中的一台机开始配置,先展开 cassandra 发行包: $ tar -zxvf apache-cassandra-$VERSION.tar.gz $ cd apache-cassandra-$VERSION 其中的 conf/cassandra.yaml 文件为主要配置文件,由于 0.7 版不再采用XML格式配置文件,如果对 YAML 格式不熟悉的话最好先到 这里 了解一下。 Cassandra 在配置文件里默认设定了几个目录: data_file_directories: /var/lib/cassandra/data commitlog_directory: /var/lib/cassandra/commitlog saved_caches_directory: /var/lib/cassandra/saved_caches data_file_directories 可以一次同时设置几个不同目录,cassandra 会自动同步所有目录。另外在日志配置文件 log4j-server.properties 也有一个默认设定日志文件的目录: log4j.appender.R.File=/var/log/cassandra/system.log 一般情况下采用默认的配置即可,除非你有特殊的数据储存要求,所以现在有两种方案:一是按照默认配置创建相关的目录,二是修改配置文件采用自己指定的目录。 下面为了简...
发表评论
阅读全文

日志工具 SLF4J 的来龙去脉

J ava 界里有许多实现日志功能的工具,最早得到广泛使用的是 log4j ,许多应用程序的日志部分都交给了 log4j,不过作为组件开发者,他们希望自己的组件不要紧紧依赖某一个工具,毕竟在同一个时候还有很多其他很多日志工具,假如一个应用程序用到了两个组件,恰好两个组件使用不同的日志工具,那么应用程序就会有两份日志输出了。 为了解决这个问题, Apache Commons Logging  (之前叫 Jakarta Commons Logging,JCL)粉墨登场,JCL 只提供 log 接口,具体的实现则在运行时动态寻找。这样一来组件开发者只需要针对 JCL 接口开发,而调用组件的应用程序则可以在运行时搭配自己喜好的日志实践工具。 所以即使到现在你仍会看到很多程序应用 JCL + log4j 这种搭配,不过当程序规模越来越庞大时,JCL的动态绑定并不是总能成功,具体原因大家可以 Google 一下,这里就不再赘述了。解决方法之一就是在程序部署时静态绑定指定的日志工具,这就是  SLF4J  产生的原因。 跟 JCL 一样,SLF4J 也是只提供 log 接口,具体的实现是在打包应用程序时所放入的 绑定器 (名字为 slf4j-XXX-version.jar)来决定,XXX 可以是 log4j12, jdk14, jcl, nop 等,他们实现了跟具体日志工具(比如 log4j)的绑定及代理工作。举个例子:如果一个程序希望用 log4j 日志工具,那么程序只需针对 slf4j-api 接口编程,然后在打包时再放入 slf4j-log4j12-version.jar 和 log4j.jar 就可以了。 现在还有一个问题,假如你正在开发应用程序所调用的组件当中已经使用了 JCL 的,还有一些组建可能直接调用了 java.util.logging,这时你需要一个 桥接器 (名字为 XXX-over-slf4j.jar)把他们的日志输出重定向到 SLF4J,所谓的桥接器就是一个假的日志实现工具,比如当你把 jcl-over-slf4j.jar 放到 CLASS_PATH 时,即使某个组件原本是通过 JCL 输出日志的,现在却会被 jcl-over-slf4j “骗到”SLF4J 里,然后 SLF4J 又会根据绑定器把日志交给具体的...
1 条评论
阅读全文

如何在应用程序里使用 Hadoop HDFS ——分布式计算Hadoop配置及实践(二)

上一篇 讲到 Hadoop 的配置,我们在搭建分布式计算系统的同时也已经搭建好分布式储存系统了。下面简述如何在应用程序(可以是 Console Application,也可以是 Web Application)调用 Hadoop HDFS。 我们除了可以使用 Hadoop 命令行 管理里面的文件和目录之外,也可以通过 Hadoop API 管理。 1、先创建一个Java Application (Console) 程序,然后引用 hadoop-core-0.20.2.jar ,因为这个包同时引用非常多其他包,所以最好使用 Maven 引用这个包。 2、在项目根目录创建 core-site.xml : <?xml version="1.0"?> <configuration> <property>   <name>fs.default.name</name>   <value>hdfs://192.168.0.10:9000</value> </property> </configuration> 程序会自动寻找 CLASS_PATH 里面的 core-site.xml 文件,假如缺少这个文件的话,程序会使用本地文件系统。 3、创建 Helloworld.java: import java.io.IOException; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.fs.FSDataInputStream; import org.apache.hadoop.fs.FSDataOutputStream; import org.apache.hadoop.fs.FileSystem; import org.apache.hadoop.fs.Path; public class HelloWorld { public static void main(String[] args) { try { HelloWorld helloWorld = new He...
发表评论
阅读全文