Centos下搭建 tomcat https服務器詳解（原創)，centoshttps

Centos下搭建 tomcat https服務器詳解（原創)，centoshttps

一 、安裝java jdk配置環境變量

1、 卸載原有openjdk

yum -y remove java-1.7.0-openjdk*

yum -y remove tzdata-java.noarch

2、 下載新的jdk 並解壓

[root@localhost java]# curl -O http://download.oracle.com/otn-pub/java/jdk/7u79-b15/jdk-7u79-linux-x64.tar.gz

[root@localhost java]# tar -zxvf jdk-7u79-linux-x64.tar.gz

關於下載jdk 方式其實很多，你可以通過指令或則是 ftp在本地下載後上傳到centos上去。

3、 配置環境變量

vim /etc/profile 通過該指令進入到java配置設置文件下，按i進入編輯狀態，然後在該文件的最後輸入下面的代碼。java環境變量配置完成

#set java environment

JAVA_HOME=/usr/java/jdk1.7.0_79

JRE_HOME=/usr/java/jdk1.7.0_79/jre

CLASS_PATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib

PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin

export JAVA_HOME JRE_HOME CLASS_PATH PATH

完畢後退出 [root@localhost java]# source /etc/profile（讓剛才修改的配置生效)

然後你可以輸入 java -version你可以看到你最新搭建的環境變量

二 、創建https訪問證書，增加證書到tomcat配置

1、 創建證書

首先進入JAVA_HOME的bin目錄下輸入如下代碼:

cd /usr/java/jdk1.7.0_79/bin/

keytool -genkey -alias tomcat -keyalg RSA -keystore /usr/local/tomcat/tomcat.keystore -validity 36500

Enter keystore password: #此處需要輸入大於6個字符的字符串

Re-enter new password:

What is your first and last name? #“您的名字與姓氏是什麼？”這是必填項，

[Unknown]: haha

What is the name of your organizational unit? #“你的組織單位名稱是什麼？”可以按照需要填寫也可以不填寫直接回車，實驗中直接回 車

[Unknown]:

What is the name of your organization? #“您的組織名稱是什麼？”，同上直接回車

[Unknown]:

What is the name of your City or Locality? #“您所在城市或區域名稱是什麼？，同上直接回車

[Unknown]:

What is the name of your State or Province? #“您所在的州或者省份名稱是什麼？”

[Unknown]:

What is the two-letter country code for this unit? #“該單位的兩字母國家代碼是什麼？”

[Unknown]:

Is CN=10.15.24.254, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown correct? #系統詢問“正確 嗎？”時，對照 輸入信息，如果符合要求則使用鍵盤輸入字母“y”，否則輸入“n”重新填寫上面的信息

[no]: y

Enter key password for
(RETURN if same as keystore password): #輸入的主密碼，這項較為重要，會在tomcat配置文件中使用，建議輸入與keystore的密碼一 致，設置其它密碼也可以

Re-enter new password:

2、修改tomcat的server.xml配置文件，使其支持https

cd /tomcat/conf/

vim server.xml

增加https的節點配置,下面這個節點在 server.xml中是存在的，但是被注釋掉了，你將注釋取消後，增加兩個屬性，一個是證書路徑，一個是證書密碼即可。

三 、防火牆端口配置

vim /etc/sysconfig/iptables進入端口設置文件編輯狀態

這裡要注意一下centos有的版本沒有iptables文件，如果沒有就需要自己創建一個

創建方法:cd /etc/sysconfig/

然後執行:iptables -P OUTPUT ACCEPT service iptables save service iptables restart

創建完畢後再運行: vim /etc/sysconfig/iptables

tomcat中對http訪問設置的端口是8080，這裡我沒設置該端口所以http訪問方式作廢。只能訪問https,tomcat中https的默認設置端口是8443

但是https自默認端口是443所以只要將tomcat中的8443修改為443就可以直接在ip前面加上https://ip直接訪問。

四、搭建中遇到的坑

我這裡使用的centos服務器是6.5版本，系統自帶了openjdk 1.7.*，第一步中要卸載系統自帶的openjdk的原因是因為openjdk下的 toolkey生成的證書，是無效證書，無法訪問https，你可以使用 curl -v https://ip運行之後等一會出現錯誤編號，然後可以打開：http://www-archive.mozilla.org/projects/security/pki/nss/ref/ssl/sslerr.html 進行對比查詢。就因為這openjdk搞得我多次重次環境，之後突然想到可能會是這個原因，網上一查真有人說 了。

yum update nss 升級nss，不管你是哪個版本的centos你最後都執行下這句代碼。否則你通過

curl訪問ip會遇到 NSS ERROR -59990

http://xxxxxx/Linuxjc/1150461.html TechArticle