1. Preparación
Esta operación es actualizar el acceso http a https y agregar el certificado SSL al acceso al servicio. El propósito principal es construir un entorno de simulación para acceder a los servicios informáticos locales a través de nombres de dominio; por lo tanto, es necesario solicitar nombres de dominio, preparar herramientas de penetración de intranet. y tomcat y una aplicación web;
2. Penetración de intranet
Se han probado varias herramientas de penetración gratuitas y las Sunny-Ngrokherramientas pueden cumplir con los requisitos de este entorno de compilación; solo visite http://www.ngrok.cc/ para descargar y, al mismo tiempo, debe registrar una cuenta y solicitar un servidor gratuito (la red en el extranjero es más lenta));
Ingrese a la interfaz de administración, complete la información del túnel y complete la información como se muestra
Hasta ahora, obtuve un nombre de dominio, pero parece que este nombre de dominio no se puede resolver a través de DNS. Intenté resolverlo muchas veces, pero fallé ... Entonces solicitaré un nombre de dominio a través de Alibaba Cloud más tarde;
herramienta de penetración de descompresión; aquí Demuestre la operación en el entorno de Windows. Después de la descompresión, obtendrá dos archivos, un exe y un bat, haga clic directamente en el archivo bat, pegue la identificación del túnel en el cursor y presione Enter;
esta es la ventana que aparece, no cierre, este Al acceder al nombre de dominio recién generado a través de la red externa, se mapeará al puerto 8889; pero este nombre de dominio no puede ser verificado por el certificado SSL aplicado por Alibaba Cloud; así que solicitemos un dominio nombre a continuación;
Tres, solicita un nombre de dominio
Para solicitar un nombre de dominio a través de Alibaba Cloud, inicie sesión en la consola de Alibaba Cloud para aplicar, y se requiere la autenticación del nombre real para analizar; consulte el sitio web oficial de Alibaba Cloud para conocer los pasos específicos;
Cuatro, resolución de nombres de dominio
Después de completar, espere a que la resolución del nombre de dominio entre en vigencia, generalmente 10 minutos; en
circunstancias normales, el nombre de dominio que acaba de solicitar se puede asignar a la dirección resuelta por dns, pero el nombre de dominio que se resuelve aquí es el dominio. nombre generado por Ngrok, y todavía no es accesible por el momento, debe regresar En la consola de administración del sitio web oficial de Ngrok, agregue un nombre de dominio personalizado con el valor del nombre de dominio que acaba de solicitar en Alibaba Cloud (este nombre de dominio requiere autenticación).
En este momento, la consola de resolución de nombres de dominio de Alibaba Cloud también puede consultar el estado
En este momento, la resolución dns está en vigor y se puede acceder al puerto 8889 asignado por Ngrok a través de una computadora que puede acceder a la red externa.
Cinco, solicite un certificado de CA
Alibaba Cloud proporciona varios servicios de aplicación de certificados, consulte el sitio web oficial de Alibaba Cloud;
1. Clasificación de certificados
- Versión OV (empresa / organización)
- Versión DV (para particulares)
- Versión EV (grandes empresas / instituciones financieras)
2. Compra
3. Verificación
Estoy solicitando certificados gratuitos bajo el paquete de recursos de certificados, 20 a la vez, primero verifique después de la solicitud y complete la información según sea necesario; debido a que el nombre de dominio está registrado en Alibaba Cloud, el método de verificación del nombre de dominio puede elegir la verificación automática de DNS ; El CSR también se genera automáticamente;
puede enviarlo para revisión después de que la verificación sea exitosa; apliqué a las 6:30 de la tarde y aprobé en cinco minutos
4. Descarga e implementación
La descarga y la implementación de las dos partes parecen no estar en orden. La razón principal es completar la información al implementar,
guardar el certificado descargado y colocarlo en el servidor Tomcat más tarde;
5. Configurar al servidor
El tutorial de documentación de Alibaba Cloud para la configuración es muy detallado, aquí está la demostración principal de la configuración de tomcat:
5.1. Requisitos previos para la instalación:
- Debe descargar el certificado SSL con anticipación. Tomcat admite dos certificados en formato PFX y formato JKS. Puede elegir uno de los certificados para instalar en Tomcat según la versión de Tomcat;
- El puerto 443 se ha abierto en el servidor Tomcat (el puerto predeterminado del servicio https, de hecho, también puede especificar otros puertos);
5.2. Instalar certificado de formato PFX
- Descomprima el archivo de certificado Tomcat descargado y guardado localmente
- ● Archivo de certificado (nombre de dominio.pfx): use .pfx como sufijo o tipo de archivo.
- ● Archivo de contraseña (pfx-password.txt): use .txt como sufijo o tipo de archivo.
- Cree un nuevo directorio de certificados en el directorio de instalación de Tomcat y copie los archivos de certificado y contraseña descomprimidos en el directorio de certificados;
- Modifique el archivo de configuración server.xml
① Elimine los comentarios del siguiente contenido y libere el contenido
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
② Consulte lo siguiente para modificar el contenido de la etiqueta publicada anteriormente.
<Connector port="443" <!--#port属性根据实际情况修改(https默认端口为443)。如果使用其他端口号,则您需要使用https://yourdomain:port的方式来访问您的网站。-->
protocol="HTTP/1.1"
SSLEnabled="true"
scheme="https"
secure="true"
keystoreFile="Tomcat安装目录/cert/domain name.pfx" <!--#证书名称前需加上证书的绝对路径,请使用您证书的文件名替换domain name。-->
keystoreType="PKCS12"
keystorePass="证书密码" <!--#请替换为密码文件pfx-password.txt中的内容。-->
clientAuth="false"
SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
A continuación se muestra lo que realmente configuré
③ Configure el archivo web.xml, active la redirección forzada de http a https
y agregue el siguiente contenido después del archivo:
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
④ Reiniciar tomcat
./shutdown.sh
./startup.sh
5.3 Verificación
Una vez instalado el certificado, puede verificar si el certificado se instaló correctamente iniciando sesión en el certificado y vinculando el nombre de dominio.
https: // domain name.com;
domain nameReemplazar con el nombre de dominio vinculado al certificado.
Si aparece un pequeño icono de candado verde en la barra de direcciones de la página web, significa que el certificado se instaló correctamente.
Al verificar si el certificado se instaló correctamente, si no se puede acceder al sitio web a través de https normalmente, debe confirmar si el puerto 443 del servidor donde instaló el certificado está abierto o bloqueado por otras herramientas
El código QR a continuación es un tutorial de implementación específico
Seis, resumen
En la producción real, el servidor de implementación es básicamente accesible a la red pública, por lo que no hay necesidad de realizar una penetración. Solo necesita solicitar un certificado, y la resolución también es muy fácil. Luego, después de la verificación formal, el enlace El nombre de dominio se coloca en la ruta especificada de tomcat. Simplemente cambie el archivo de configuración