なぜ、この記事を書くのか?
今日は友人のグループは、HTTPSであるTomcatのSSLを設定するには、どのようにグループ、彼が買っアリクラウドサーバ、構築されたパブリックネットワークのIP、また、無料のSSL証明書を見つけることを尋ねました
@私、私は練習聖歌に従事するのに役立ちます、私はsudoを持つユーザーに行くよ、彼はピットへの道を踏むようになったので、
その理由は、慎重に自分を伝えるので、それを書き留め、理由の理解の彼の不足のピットまたはLinuxを強化しました
Tomcatのインストール
ここでのOpenJDKとCentOSに7、Tomcatのバージョン8.5.50とプレゼンテーション、あなたはJDKをインストールする必要があり、
ダウンロードTomcatのhttp://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-8/v8.5.50/bin/apache-tomcat-8.5.50.tar.gz
$ cd ~
$ wget http://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-8/v8.5.50/bin/apache-tomcat-8.5.50.tar.gz #下载到家目录
$ tar zxvf apache-tomcat-8.5.50.tar.gz #解压tomcat
$ cd apache-tomcat-8.5.50
$ bin/startup.sh #启动tomcat
$ tail -f logs/catalina.out #查看日志输出
あなたは、/dev/./randomを使用した場合、新たな乱数手続きを生成しませブロックされるTomcatは乱数を取得しているため、非常にゆっくりとTomcatを起動し、Linuxで見つけることを指しますのLinuxの/ dev /ランダムに/ dev / urandomの中のファイルの乱数どこ我々はそれを変更問題bin/catalina.sh
、それは非ブロッキングを使用するように、/dev/urandom
vim bin/catalina.sh
ライン付近の256のためにJAVA_OPTS
デフォルトの乱数を指定するために追加され-Djava.security.egd=file:/dev/./urandom
、保存して終了
Tomcatを再起動します
$ bin/shutdown.sh
$ bin/startup.sh
$ tail -f logs/catalina.out
スタートは非常に高速であります
アクセス<127.0.0.1:8080>または
インストール4月
ブートログを表示し、あなたはライブラリを見つけるためにそこにいないようだことがあります
The APR based Apache Tomcat Native library which allows optimal performance in production environments was not found on the java.library.path
引数の公式サイトで4月:Tomcat can use the [Apache Portable Runtime](https://apr.apache.org/) to provide superior scalability, performance, and better integration with native server technologies.
簡単に言えば、4月は、オペレーティングシステム用に最適化され、大幅にサーバーのパフォーマンスのランタイム環境を強化
最も簡単な解決策は、インストールすることでapr-devel
、より詳細にはhttp://tomcat.apache.org/tomcat-8.5-doc/apr.htmlを参照してください。
$ sudo yum install -y apr-devel
変更Tomcatのポート80
HTTPのデフォルトポートは、私たちだけの書き込みIPまたはドメイン名は、アクセスポート80をデフォルトとしますと、80である、それは非常に便利な構成です
$ vim conf/server.xml
、80 8080に約69の行を変更し、保存して終了
Tomcatを再起動し、トップコマンドに沿って、それらを繰り返しません
あなたが私に似ている場合は、SUDOユーザーの使用があり、その後、あなたがめちゃくちゃにしたいかもしれませんが、どのようにああ応答しませんでした?「私は127.0.0.1を訪問しましたか」
rootユーザーが小さい事なくなるまで、非rootユーザーのLinuxのデフォルトのポート番号は1024よりも大きいに直接使用することができるので、これはです!私は、ピットで長時間今日ここで、問題は、セキュリティグループを変更する見つけ、ファイアウォールのオフ、設定を変更しますシャトルは皮肉に変更、問題を見つけられませんでした
HTTPSの設定SSL証明書
証明書の証明書ファイルとパスワードをダウンロードするには、すべての権限のWebサイトのまず、証明書ファイルの接尾辞.pfx
、通常はパスワードpfx-password.txt
、ときにはPFXのconfigureのパスワードを使用して、ここで失敗する変換を使用pfx
しjks
たファイル
ユーザのホームディレクトリにカレントディレクトリにまずコピーの.pfx証明書およびパスワード
PFX証明書がJKSへの変換します
$ cd ~
$ cat pfx-password.txt #查看密码,这里可以复制一下,马上会用到
$ keytool -importkeystore -srckeystore 你的证书.pfx -destkeystore domains.jks -srcstoretype PKCS12 -deststoretype JKS #这里的domains.jks名称你可以改成别的,只要以.jsk结尾就可以
パスワードを3回入力して、あなただけのパスワードをコピーして貼り付けることができ、ls
あなたがdomain.jksを見つけるでしょうが生成されています
設定Server.xmlを
$ cp domains.jks ~/apache-tomcat-8.5.50/conf
$ cd ~/apache-tomcat-8.5.50
$ vim conf/server.xml
87約行において、8443 443に原稿を修正するために、プロトコルは、プロトコルの他の高いバージョンを使用することができ、詳細はhttp://tomcat.apache.org/tomcat-8.5-doc/config/http.html#SSL_Support参照します
示されるように、絶対パスでいるkeystoreFile充填JKS、keystorePass証明書のパスワードを記入し(わずかPFX同じパスワードを使用して生成JKSに記入)
<!-- 开启ssl支持,请注意其它接口转发应修改redirectPort为443 -->
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="/你的目录/apache-tomcat-8.5.50/conf/domains.jks"
keystorePass="证书密码"
clientAuth="false" sslProtocol="TLS"
connectionTimeout="20000" />
ポート443の暗号化に他のポートフォワーディングがあり、443に8443のデフォルトの設定を変更します
vimの入力は、一般的に成功した(コメントを含む)6で交換する必要があります
:1,$s/8443/443/g
保存して終了して再起動Tomcatの
フォロー
一般的に、ここで見て、あなたのTomcatは、証明書、HTTPSを結び付けている必要があります
これは、記録ピットの最初のステップですので、あなたが発生する可能性のあるいくつかの口の中の問題に言及します
- セキュリティグループで構成されたECSサーバーは、configureポート80と443インバウンドリリースに注意を払うには、アウトバウンドルール、デフォルトの完全禁止のインバウンド、アウトバウンドのフルインバウンド
- アリECSセキュリティグループは、特定の領域のみで使用することができる
专用网络
とは異なり、经典网络
パブリックネットワークとネットワークを個別に設定することができ、专用网络
セキュリティグループのデフォルトの標準灰は内网
アリの文書を照会することで、変更してはいけません、我々が見つかりましたパブリックネットワークでの意志をし、イントラネット有効になります专用网络
安全组配置
- Linuxのデフォルトのroot以外のユーザーは、1024以下のポートを使用する権限を持っていません