记录自签tomcat所用TLS1.2链接所需SSL证书
在Tomcat中配置TLS 1.2和SSL证书,你需要编辑Tomcat的配置文件server.xml
,通常位于$CATALINA_HOME/conf/
目录下。以下是配置SSL连接所需的步骤和示例配置:
- 打开
server.xml
文件。 - 找到
<Connector>
元素,这通常是在<HTTP/1.1>
或<AJP/1.3>
连接器配置下。 - 修改
<Connector>
元素,添加或更新protocol
属性为TLS
,并确保SSLProtocol
设置为TLSv1.2
。 - 设置
keystoreFile
指向你的密钥库文件,keystorePass
为你的密钥库密码。
以下是一个配置TLS 1.2和SSL证书的<Connector>
示例:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
clientAuth="false"
sslProtocol="TLSv1.2"
keystoreFile="/path/to/your/keystore.jks"
keystorePass="your_keystore_password"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA" />
请确保替换keystoreFile
和keystorePass
的值为你的密钥库文件路径和密码。此外,ciphers
属性定义了支持的加密算法,确保它们是你想要支持的TLS 1.2算法。
配置完成后,重启Tomcat以使配置生效。你可以使用工具如openssl s_client
或curl
来验证配置是否正确,例如:
openssl s_client -connect your_domain:8443 -tls1_2
或者使用curl:
curl -k --tlsv1.2 https://your_domain:8443
确保你的证书是由受信任的CA签发的,否则客户端可能会发出警告。如果你使用的是自签名证书,你需要将证书导入到客户端机器的信任库中,或者接受使用自签名证书的风险。
评论已关闭