Tomcat10設定埠號為443(使用https存取)

2022-07-27 18:03:13

前言

tomcat設定好了以後預設是使用8080埠存取的，也就是需要在使用"域名.com:8080"才能存取。這篇總結一下如何修改tomcat設定，使可以用"http://域名.com"或"https://域名.com" 存取。

前期準備

環境設定：

騰訊雲輕量應用伺服器: CentOS 8.2 64bit
遠端存取推薦使用圖形化介面(Mac 建議Royal TSX,Windows建議Mobaxterm)
Tomcat 10.0.4 ；
Java 1.8 ；

前提條件:

設定存取80埠即"http://域名.com"不需要證書
設定存取443埠即"https://域名.com" 需要SSL證書，證書可以從你購買伺服器的運營商那裡獲取

具體操作步驟

話不多說，直接進入正題

編輯在 /usr/tomcat/*/conf 目錄(這個目錄是你安裝tomcat的目錄)下的 server.xml 檔案。新增如下內容：

// An highlighted block
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
  maxThreads="150" scheme="https" secure="true"
#證書儲存的路徑
  keystoreFile="/usr/*/conf/域名.com.jks" 
#金鑰庫密碼
  keystorePass="******"
  clientAuth="false"/>

詳細 server.xml 檔案和一些引數解釋如下(可以直接複製過去)：

<?xml version="1.0" encoding="UTF-8"?>
<!--
Server 根元素，建立⼀個Server範例，⼦標籤有 Listener、GlobalNamingResources、Service
port：關閉伺服器的監聽端⼝
shutdown：關閉伺服器的指令字串
-->
<Server port="8005" shutdown="SHUTDOWN">

    <!-- 建立 5 個監聽器  start -->
    <!-- 以⽇志形式輸出伺服器 、作業系統、JVM的版本資訊 -->
    <Listener className="org.apache.catalina.startup.VersionLoggerListener"/>
    <!-- 載入（伺服器啟動） 和 銷燬 （伺服器停⽌） APR。 如果找不到APR庫， 則會輸出⽇志， 並不影響 Tomcat啟動 -->
    <Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on"/>
    <!-- 避免JRE記憶體漏失問題 -->
    <Listener className="org.apache.catalina.core.JreMemoryLeakPreventionListener"/>
    <!-- 載入（伺服器啟動） 和 銷燬（伺服器停⽌） 全域性命名服務 -->
    <Listener className="org.apache.catalina.mbeans.GlobalResourcesLifecycleListener"/>
    <!-- 在Context停⽌時重建 Executor 池中的執行緒， 以避免ThreadLocal 相關的記憶體漏失 -->
    <Listener className="org.apache.catalina.core.ThreadLocalLeakPreventionListener"/>
    <!-- 建立 5 個監聽器  end -->


    <!--
         定義伺服器全域性的JNDI 資源 命名服務
    -->
    <GlobalNamingResources>
        <Resource name="UserDatabase" auth="Container"
                  type="org.apache.catalina.UserDatabase"
                  description="User database that can be updated and saved"
                  factory="org.apache.catalina.users.MemoryUserDatabaseFactory"
                  pathname="conf/tomcat-users.xml"/>
    </GlobalNamingResources>

    <!--
            該標籤⽤於建立 Service 範例，預設使⽤ org.apache.catalina.core.StandardService。
       預設情況下，Tomcat 僅指定了Service 的名稱， 值為 "Catalina"。
       Service ⼦標籤為 ： Listener、Executor、Connector、Engine，
       其中：
       Listener ⽤於為Service新增⽣命週期監聽器，
       Executor ⽤於設定Service 共用執行緒池，(可以給多個 Connector聯結器使用)
       Connector ⽤於設定Service 包含的連結器，
       Engine ⽤於設定Service中連結器對應的Servlet 容器引擎
     -->
    <Service name="Catalina">

        <!-- 預設情況下，Service 並未新增共用執行緒池設定。 如果我們想新增⼀個執行緒池， 可以在<Executor> 下新增如下設定：
              name：執行緒池名稱，⽤於 Connector中指定
              namePrefix：所建立的每個執行緒的名稱字首，⼀個單獨的執行緒名稱為：namePrefix+執行緒編號
              maxThreads：池中最⼤執行緒數
              minSpareThreads：活躍執行緒數，也就是核⼼池執行緒數，這些執行緒不會被銷燬，會⼀直存在
              maxIdleTime：執行緒空閒時間，超過該時間後，空閒執行緒會被銷燬，預設值為6000（1分鐘），單位毫秒
              maxQueueSize：在被執⾏前最⼤執行緒排隊數⽬，預設為Int的最⼤值，也就是⼴義的⽆限。除⾮特殊情況，這個值 不需要更改，否則會有請求不會被處理的情況發⽣
              prestartminSpareThreads：啟動執行緒池時是否啟動 minSpareThreads部分執行緒。預設值為false，即不啟動
              threadPriority：執行緒池中執行緒優先順序，預設值為5，值從1到10
              className：執行緒池實現類，未指定情況下，預設實現類為
              org.apache.catalina.core.StandardThreadExecutor。
              如果想使⽤⾃定義執行緒池⾸先需要實現org.apache.catalina.Executor接⼝-->
        <Executor name="tomcatThreadPool"
                  namePrefix="catalina-exec-"
                  maxThreads="200"
                  minSpareThreads="100"
                  maxIdleTime="60000"
                  maxQueueSize="Integer.MAX_VALUE"
                  prestartminSpareThreads="true"
                  threadPriority="5"
                  className="org.apache.catalina.core.StandardThreadExecutor"/>

        <!--
           Connector 標籤⽤於建立連結器範例，預設情況下，server.xml 設定了兩個連結器，⼀個⽀持HTTP協定，⼀個⽀持AJP協定
           ⼤多數情況下，我們並不需要新增連結器設定，只是根據需要對已有連結器進⾏優化
                port：
                     端⼝號，Connector ⽤於建立伺服器端Socket 並進⾏監聽， 以等待使用者端請求連結。如果該屬性設定為0， Tomcat將會隨機選擇⼀個可⽤的端⼝號給當前Connector 使⽤
                protocol：
                     當前Connector ⽀持的存取協定。 預設為 HTTP/1.1 ， 並採⽤⾃動切換機制選擇⼀個基於 JAVA NIO 的連結器或者基於本地APR的連結器（根據本地是否含有Tomcat的本地庫判定）
                connectionTimeOut:
                     Connector 接收連結後的等待超時時間， 單位為 毫秒。 -1 表示不超時。
                redirectPort：
                     如果當前接收的是一個 https 的請求，那麼tomcat 會將請求轉發到 redirectPort指定的埠。
                     比如現在設定的：8443 埠當前Connector 不⽀持SSL請求， 接收到了⼀個請求， 並且也符合security-constraint 約束，需要SSL傳輸，Catalina⾃動將請求重定向到指定的端⼝。
                executor：
                     指定共用執行緒池的名稱， 也可以通過maxThreads、minSpareThreads 等屬性設定內部執行緒池。
                URIEncoding:
                     ⽤於指定編碼URI的字元編碼， Tomcat8.x版本預設的編碼為 UTF-8 , Tomcat7.x版本預設為ISO8859-1
 -->
        <!--org.apache.coyote.http11.Http11NioProtocol， ⾮阻塞式 Java NIO 連結器，tomcat8設定nio會報錯，可能是已經整合了nio的原因-->
        <Connector port="80"
                   protocol="HTTP/1.1"
                   connectionTimeout="20000"
                   redirectPort="443"
                   executor="tomcatThreadPool"
                   URIEncoding="utf-8"/>


        <!-- certificateKeystoreFile 用於指定證書所在的目錄 ；
                        certificateKeystorePassword 用於指定證書的密碼;type是使用的加密演演算法-->
        <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
                   maxThreads="150" schema="https" secure="true" SSLEnabled="true">
            <SSLHostConfig>
                <Certificate
                        certificateKeystoreFile="conf/你的域名.cn.jks"
                        certificateKeystorePassword="你申請證書時提交密碼"
                        type="RSA" />
            </SSLHostConfig>
        </Connector>


        <!-- Define an AJP 1.3 Connector on port 8009 -->

        <Connector protocol="AJP/1.3"
                   address="::1"
                   port="8009"
                   redirectPort="443" />


        <!--name： ⽤於指定Engine 的名稱， 預設為Catalina
         defaultHost：預設使⽤的虛擬主機名稱， 當用戶端請求指向的主機⽆效時， 將交由預設的虛擬主機處
              理， 預設為localhost-->
        <Engine name="Catalina" defaultHost="localhost">
            <Realm className="org.apache.catalina.realm.LockOutRealm">
                <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
                       resourceName="UserDatabase"/>
            </Realm>

            <!--Host 標籤⽤於設定⼀個虛擬主機
                      name：該host的名稱
                      appBase ：指定 war包放置的路徑，可以是絕對路徑，也可以是相對路徑（相對路徑，相對的就是tomcat的安裝目錄
                      unpackWARs ：是否自動解壓 war包
                      autoDeploy：是否自動部署 （有點熱部署的效果）-->
            <Host name="localhost" appBase="webapps"
                  unpackWARs="true" autoDeploy="true">

                <!-- 記錄當前 host 處理請求的紀錄檔 -->
                <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
                       prefix="localhost_access_log" suffix=".txt"
                       pattern="%h %l %u %t &quot;%r&quot; %s %b"/>
            </Host>
        </Engine>
    </Service>
</Server>

其中有一個需要注意的地方就是，證書的位置certificateKeystoreFile可以填絕對路徑，也可以填相對路徑。如果填寫的是相對路徑，那地址應該是conf的上一層目錄(如果你把jks檔案放在server.xml的同級目錄下，此處應該填"conf/域名.jks")，我因為這個踩過一些坑。

HTTP 自動跳轉 HTTPS 的安全設定（可選）

如果您需要將 HTTP 請求自動重定向到 HTTPS。您可以通過以下操作設定：

編輯 /usr/*/conf 目錄下的 web.xml 檔案，找到標籤。
請在結束標籤後面換行，並新增以下內容：

    <login-config>
    <!-- Authorization setting for SSL -->
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>Client Cert Users-only Area</realm-name>
    </login-config>
    
    <security-constraint>
    <!-- Authorization setting for SSL -->
    <web-resource-collection>
    <web-resource-name>SSL</web-resource-name>
    <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
    </security-constraint>