我的文件系统上的/opt/myapp/keystore/myapp.jks 下有一个自定义JKS 文件(密钥库),我正在将myapp.war 部署到需要使用它的Tomcat7。
如果这是一个可执行的 JAR(而不是 WAR),我可能会这样做:
java -jar myapp.jar -Djavax.net.ssl.keyStore=/opt/myapp/keystore/myapp.jks
-Djavax.net.ssl/keyStorePassword=mypasswd
在 Tomcat7 中如何/在哪里完成相同的操作?
【问题讨论】:
您可以将 SSL 连接器添加到 conf/server.xml 文件,如下例所示:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keyAlias="your-cert-key" keystoreFile="your-keystore-path.keystore"
keystorePass="yourpassword"
clientAuth="false" sslProtocol="TLS" />
【讨论】:
有多种选择。
如果您乐于让 JVM 全局访问这些设置,包括在 Tomcat 容器中运行的所有 WAR(但可能不包括服务器连接器本身,因为它可以单独配置),在catalina 启动脚本(.sh 或.bat 取决于平台)中将这些选项添加到JAVA_OPTS。这并不理想,因为实际上在该 JVM 中运行的任何代码都可以访问该密钥库,因此您需要确保它是可接受的。
如果您可以更改代码,您可以为正在使用它的任何东西初始化单独的 SSLContexts(您可以从中获取 SSLEngine 或 SSLSocketFactory,您可以使用它构建 SSLSockets 或初始化HttpsUrlConnection)。这些方面的东西应该可以工作:
// Load the key store: change store type if needed
KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
FileInputStream fis = new FileInputStream("/path/to/keystore");
try {
ks.load(fis, keystorePassword);
} finally {
if (fis != null) { fis.close(); }
}
SSLContext sslContext = SSLContext.getInstance("TLS");
// the second "null" argument will let you use the default trust manager settings.
sslContext.init(kmf.getKeyManagers(), null, null);
SSLSocketFactory sslSocketFactory = sslContext.getSSLSocketFactory();
您可以从 web 应用程序中的资源加载密钥库,而不是 FileInputStream,或者可能通过 JNDI,具体取决于您要如何配置整体设置。
【讨论】: