TomcatのSSL証明書で展開CentOS7の問題点
1.設定のservlet.xml
次のコードを追加設定のtomcat / confに/ server.xmlを
<コネクタポートは= "8443" プロトコル= "HTTP / 1.1" SSLEnabledは= "true"の スキーム= "https"を 確保= "true"に いるkeystoreFile = "证书路径" keystoreTypeキー= "PKCS12" keystorePass = "这里写密码" CLIENTAUTH =」偽」 SSLProtocol = "TLSv1の+ TLSv1.1 + TLSv1.2" 暗号= "TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256、TLS_RSA_WITH_AES_128_CBC_SHA256、TLS_RSA_WITH_AES_256_CBC_SHA256" />
Tomcatのroot以外のユーザーは、1024個の以上のポートを使用することができます
1024セット以下のポートは、次のエラーが報告されます、など443ポート:(権限がありません)
パーミッション拒否された<NULL>:443
Tomcatを起動するには、rootユーザーは、深刻な問題があり、それは、root権限を持つTomcatのです。
これは、あなたのスクリプトのページ(HTML / JS)のいずれかがroot権限を持っていることを意味し、あなたが簡単にページのスクリプトでハードディスク全体のファイルを変更することができます!
だから、Tomcatを起動するにはrootを使用しないことをお勧めです。
ポート80を設定する前に遭遇したとき以来、その直接ポートフォワーディングを期待
--to-ポート8443はiptables -tのnat -A PREROUTING -p TCP --dport 443 -j REDIRECT
アドレスパスを記述する必要があり、構成PFX証明書内の小さなディップがあるときのはい、ルート・パスの相対パスにTomcatのconf / servlet.xml
confにありません(Tomcatが起動した後、我々は、ログを読んだ後知っている前に、この発見は、サイトにアクセスすることはできません。)
その上でパスワードの直接コピーアップ
2.http强转HTTPS
confに/ web.xmlので次のように追加します:
#在</歓迎ファイルリスト>后添加以下内容: <ログイン-config>の <! - SSLの設定の許可- > <のauth-method> CLIENT-CERT </ auth-methodの> <レルム名>クライアント証明書をユーザー専用エリア</レルム名> </ログイン-config>の <セキュリティ制約> <! -認証SSLの設定- > <ウェブ・リソース・コレクション> の<web-リソース名> SSL < /ウェブリソース名> の<url-pattern> / * </のurl-pattern> </ウェブ・リソース・コレクション> <ユーザデータ制約> <トランスポート保証> CONFIDENTIAL </トランスポート保証> </ユーザー-data-制約> </セキュリティ制約>
強いターンの設定、私は次のようにHTTPS、HTTPポートが設定されているへのアクセスを防止し、ポートに転送HTTP 8443を訪問する時間を見つけました
<コネクタポート= "8080" プロトコル= "HTTP / 1.1" のConnectionTimeout = "20000" にredirectPort = "8443" maxThreadsの= "1000" minSpareThreads = "20" acceptCountを= "1000" maxHttpHeaderSize = "65536" デバッグ= "0" disableUploadTimeout = "true"を useBodyEncodingForURI = "true"を enableLookups = "false"に はURIEncoding = "UTF-8" />
その後、などは、以下にredirectPortに変更されますリダイレクトポート(白推測)ことを意味すべきです
redirectPort = "443"
3. Tomcatを再起動サービス
アリクラウドファイアウォールのオープンポート443に忘れないでください!
あなたは、サーバーがファイルをコンパイルし、再起動した後も、この時間を心配しないで、あなたのサイトを訪問する数分待つ必要があります。