我能否在Tomcat 7中设置这样一个配置:一个Web应用程序上有多个SSL证书?将多个IP地址分配给此计算机对我来说不是问题。
我能否在Tomcat 7中设置这样一个配置:一个Web应用程序上有多个SSL证书?将多个IP地址分配给此计算机对我来说不是问题。
如果没有使用Server Name Indication(SNI),在Java(6)中不支持,那么每个IP地址需要一个证书。
您可以配置Tomcat使用多个连接器,具有不同的IP地址和证书,使用address属性。
例如:
<Connector
port="8443" maxThreads="200" address="10.0.0.1"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="keystore1.jks" keystorePass="..."
clientAuth="false" sslProtocol="TLS"/>
<Connector
port="8443" maxThreads="200" address="10.0.0.2"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="keystore2.jks" keystorePass="..."
clientAuth="false" sslProtocol="TLS"/>
如果需要的话,您也可以使用相同的密钥库,并使用keyAlias
属性(在Connector
中)告诉连接器要使用哪个密钥/证书(基于密钥库中的别名名称)。
我不确定,“SNI”是否真的相关。
但是在您的情况下,典型的解决方案将是所谓的“ssloffloading”或“ssl终止”: 即将您的tomcat放在一个apache后面,该apache配置为在同一IP上使用多个虚拟主机/域名。您可以在apache中为每个虚拟主机配置自己的SSL证书。
这里有一个逐步指南来介绍这个主题:
http://milestonenext.blogspot.de/2012/09/ssl-offloading-with-modjk-part-1.html
我正在使用 Tomcat 8.5,现在可以配置多个 SSL/ 多域名的 Tomcat。以下是我的配置:
<Connector port="443" protocol="org.apache.coyote.http11.Http11AprProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
defaultSSLHostConfigName="localhost" >
<UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
<SSLHostConfig hostName="localhost">
<Certificate certificateKeyFile="/$path/privkey.pem"
certificateFile="/$path/certificate.pem"
certificateChainFile="/$path/chain.pem"
type="RSA" />
</SSLHostConfig>
<SSLHostConfig hostName="domainname.com">
<Certificate certificateKeyFile="/$path/privkey.pem"
certificateFile="/$path/certificate.pem"
certificateChainFile="/$path/chain.pem"
type="RSA" />
</SSLHostConfig>
</Connector>
我刚刚在一个拥有多个SSL和IP的服务器上使其工作。
通过以下方式添加IP:
http://www.loadtestingtool.com/help/how-setup-ip.shtml
添加了代码以使用“密码”(具有2048位密钥时)使服务器使用最大可能的安全性。
首先测试了这将如何使用自签名密钥:
http://community.jboss.org/wiki/GeneratingSelfSignedCertificateWithKeytool
请注意,此页面中的测试在“-keystore”文本的开头(多个位置)中有错误字符。
以下是代码:
<Connector protocol="org.apache.coyote.http11.Http11Protocol" address="###.###.###.##1" port="443" minSpareThreads="5"
enableLookups="true" acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true" keystoreFile="key1.key"
keystorePass="password1" clientAuth="false" sslProtocol="TLS"
ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"/>
<Connector protocol="org.apache.coyote.http11.Http11Protocol" address="###.###.###.##2" port="443" minSpareThreads="5"
enableLookups="true" acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true" keystoreFile="key2.key"
keystorePass="password2" clientAuth="false" sslProtocol="TLS"
ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"/>