1、首先需要去阿里云申请SSL证书（或者自己用工具生成），然后存放到项目的resource下
 
 
 
2、配置application.properties
 
#-----------------------------------------配置https-----------------------------------------
# https端口
server.port=443
# http端口
http.port =80
# 证书名称
server.ssl.key-store=classpath:xxx.pfx
# 证书密码
server.ssl.key-store-password=xxx
# 证书格式（DER、CER、PEM、CRT、PFX、P12、JKS）
server.ssl.keyStoreType=PKCS12
 
3、项目启动类添加以下代码，http重定向到https
 
    /**
     * description http重定向到https
     *
     * @return org.springframework.boot.web.servlet.server.ServletWebServerFactory
     * @author yanzy
     * @version 1.0
     * @date 2020/4/26 13:14
     */
    @Bean
    public ServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint securityConstraint = new SecurityConstraint();
                securityConstraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };
        tomcat.addAdditionalTomcatConnectors(initiateHttpConnector());
        return tomcat;
    }

    /**
     * 让我们的应用支持HTTP是个好想法，但是需要重定向到HTTPS，
     * 但是不能同时在application.properties中同时配置两个connector，
     * 所以要以编程的方式配置HTTP connector，然后重定向到HTTPS connector
     *
     * @return Connector
     * @author yanzy
     * @version 1.0
     * @date 2020/4/26 13:14
     */
    private Connector initiateHttpConnector() {
        Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
        connector.setScheme("http");
        connector.setPort(80); // http端口
        connector.setSecure(false);
        connector.setRedirectPort(443); // application.properties中配置的https端口
        return connector;
    }
 
4、启动项目，通过http或者https访问项目，就OK了
 例如：http://localhost，https://localhost
 
 爱代码，更爱生活，滴滴。

Nginx配置HTTPS
 
最近配置了现网网站的HTTPS，简单记录一下配置过程。
 
先交代一下我的服务部署环境：Nginx监听80端口，转发到Tomcat的8080端口；服务器使用的是阿里云的ECS，操作系统是Windows Server 2012；CA证书也是在阿里云的CA证书服务上面申请的免费证书。
 
申请CA证书
 首先去购买CA证书。一般各大云服务提供商都会有此类证书服务，根据公司和业务需求，可以自己选择免费或者付费的证书。我选择的是Symantec 赛门铁克的免费型DV SSL，此类证书一个证书对应一个域名，如果涉及到二级域名需要另外申请一个二级域名的CA证书。阿里云上面的证书购买过程比较简单，需要注意的两个地方：1.要对域名进行验证；2.CSR的生成方式。如果自己的域名是放在阿里云解析上面的，阿里云会自动校验；如果域名没有在阿里云上面解析，需要按照阿里云的提示进行一下操作。另外CSR的生成方式建议选择系统生成CSR，自己生成CSR稍微麻烦一点。证书购买成功后补全好自己的域名即可。
Nginx配置
 CA证书审核通过后，将证书下载到本地，会得到一个zip包，里面有xxx.key和xxx.pem两个文件。
 
在Nginx的安装目录下创建cert目录，并将xxx.key和xxx.pem拷贝到该目录中。注意：如果是自己生成的CSR文件，应该只有一个xxx.key文件，将该文件拷贝进去就可以了。
打开conf目录中的nginx.conf配置文件修改443端口监听配置。Nginx默认配置是将443端口的监听配置注释掉了的，如下：
 
# HTTPS server
# #server {
# listen 443;
# server_name localhost;
# ssl on;
# ssl_certificate cert.pem;
# ssl_certificate_key cert.key;
# ssl_session_timeout 5m;
# ssl_protocols SSLv2 SSLv3 TLSv1;
# ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
# ssl_prefer_server_ciphers on;
# location / {
#
#
#}
#}
 
将注释打开，并对其中部分内容进行修改，修改后如下：
 
server {
    listen 443;
    server_name your-domain-name;
    ssl on;
    root html;
    index index.html index.htm;
    ssl_certificate   cert/214293826510663.pem;
    ssl_certificate_key  cert/214293826510663.key;
    ssl_session_timeout 5m;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
    ssl_prefer_server_ciphers on;
    location / {
        root html;
        index index.html index.htm;
    }
}
 
修改配置并保存后，Nginx安装目录运行nginx.exe -s reload命令可重启Nginx使配置生效。
通过https:\\xxxx.com方式访问你的网站，如果能够正常访问，浏览器左边出现绿色的标记或者出现锁的标记那就成功了。
 
几点注意事项：
 
如果HTTPS方式访问网站出现无响应的情况，可以看看自己的服务器防火墙配置，是不是需要将443端口加到例外中去；
注意自己xxx.pem和xxx.key的存放路径，区分相对路径和决定路径使用方式；
通过Nginx安装目录下的logs文件夹中的access.log和error.log日志文件来进行排错；
同一个Nginx可以配置多个HTTPS的域名，只需要将上面443端口的监听配置复制一份加到配置文件中，然后修改好相应的server_name、xxx.pem和xxx.key文件路径即可。
 
补充一点配置：
 如果Nginx配置了HTTPS，那背后的Tomcat就没有必要再进行配置了，另外，为了兼容原来80端口的HTTP方式的访问，可以将80端口的访问请求全部转发到443端口上，增加配置如下：
 
server {
    listen       80;
    server_name  your-domain.com;

    location = / {
        rewrite ^(.*) https://your-domain.com/$1 permanent;
    }

    location / {
        rewrite ^(.*) https://your-domain.com/$1 permanent;
    }
}

 

配置站点使用 https，并且将 http 重定向至 https。
 
1. nginx 的 ssl 模块安装
 
查看 nginx 是否安装 http_ssl_module 模块。
 
$ /usr/local/nginx/sbin/nginx -V
 
 
如果出现 configure arguments: --with-http_ssl_module, 则已安装（下面的步骤可以跳过，进入 nginx.conf 配置）。
 
下载 nginx 安装包, nginx官网1.14.1稳定版本tar.gz包。
 
# 下载安装包到 src 目录
$ cd /usr/local/src
$ wget http://nginx.org/download/nginx-1.14.1.tar.gz
 
解压安装包。
 
$ tar -zxvf nginx-1.14.1.tar.gz
 
配置 ssl 模块。
 
$ cd nginx-1.14.1
$ ./configure --prefix=/usr/local/nginx --with-http_ssl_module
 
使用 make 命令编译（使用make install会重新安装nginx），此时当前目录会出现 objs 文件夹。
用新的 nginx 文件覆盖当前的 nginx 文件。
 
$ cp ./objs/nginx /usr/local/nginx/sbin/
 
再次查看安装的模块（configure arguments: --with-http_ssl_module说明ssl模块已安装）。
 
$ /usr/local/nginx/sbin/nginx -V

nginx version: nginx/1.14.1
 …
 configure arguments: –with-http_ssl_module
 
2. ssl 证书部署
 
下载申请好的 ssl 证书文件压缩包到本地并解压（这里是用的 pem 与 key 文件，文件名可以更改）。
在 nginx 目录新建 cert 文件夹存放证书文件。
 
$ cd /usr/local/nginx
$ mkdir cert
 
将这两个文件上传至服务器的 cert 目录里。
这里使用 mac 终端上传至服务器的 scp 命令（这里需要新开一个终端，不要使用连接服务器的窗口）:
 
$ scp /Users/yourname/Downloads/ssl.pem root@xxx.xx.xxx.xx:/usr/local/nginx/cert/
$ scp /Users/yourname/Downloads/ssl.key root@xxx.xx.xxx.xx:/usr/local/nginx/cert/
 

 
scp [本地文件路径，可以直接拖文件至终端里面] [<服务器登录名>@<服务器IP地址>:<服务器上的路径>]
 
3. nginx.conf 配置
 
编辑 /usr/local/nginx/conf/nginx.conf 配置文件：
 
配置 https server。
注释掉之前的 http server 配置，新增 https server：
 
server {
    # 服务器端口使用443，开启ssl, 这里ssl就是上面安装的ssl模块
    listen       443 ssl;
    # 域名，多个以空格分开
    server_name  baidu.com www.baidu.com;
<span class="hljs-comment"># ssl证书地址</span>
<span class="hljs-attribute">ssl_certificate</span>     /usr/local/nginx/cert/ssl.pem;  <span class="hljs-comment"># pem文件的路径</span>
<span class="hljs-attribute">ssl_certificate_key</span>  /usr/local/nginx/cert/ssl.key; <span class="hljs-comment"># key文件的路径</span>

<span class="hljs-comment"># ssl验证相关配置</span>
<span class="hljs-attribute">ssl_session_timeout</span>  <span class="hljs-number">5m</span>;    <span class="hljs-comment">#缓存有效期</span>
<span class="hljs-attribute">ssl_ciphers</span> ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;    <span class="hljs-comment">#加密算法</span>
<span class="hljs-attribute">ssl_protocols</span> TLSv1 TLSv1.<span class="hljs-number">1</span> TLSv1.<span class="hljs-number">2</span>;    <span class="hljs-comment">#安全链接可选的加密协议</span>
<span class="hljs-attribute">ssl_prefer_server_ciphers</span> <span class="hljs-literal">on</span>;   <span class="hljs-comment">#使用服务器端的首选算法</span>

<span class="hljs-attribute">location</span> / {
    <span class="hljs-attribute">root</span>   html;
    <span class="hljs-attribute">index</span>  index.html index.htm;
}


}
 
将 http 重定向 https
 
server {
    listen       80;
    server_name  baidu.com www.baidu.com;
    return 301 https://$server_name$request_uri;
}
 
4. 重启 nginx
 
$ /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
 
如果 80 端口被占用，用kill [id]来结束进程：
 
# 查看端口使用
$ netstat -lntp

Active Internet connections (only servers)
 Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
 tcp 0 0 0.0.0.0:80 0.0.0.0: LISTEN 21307/nginx: master
 tcp 0 0 0.0.0.0:22 0.0.0.0: LISTEN 3072/sshd
 tcp 0 0 0.0.0.0:443 0.0.0.0😗 LISTEN 21307/nginx: master
 
# 结束 80 端口进程
 $ kill 21307
 
再次重启 nginx ：
 
$ /usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
 

 
无信息提示就成功啦～

Tomcat8配置Https协议，Tomcat配置Https安全访问，Tomcat Https配置
 
 
 
==============================
 
©Copyright 蕃薯耀 2017年11月06日
 
http://www.cnblogs.com/fanshuyao/
 
 
 
一、使用Jdk自带的工具生成数字证书，如下：
 
 
 
 
 
Java代码  
 
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\soft\apache-tomcat-8.0.47-9200\conf\key\tomcat.keystore  -validity  36500  
 keytool.exe 命令位于Java\jdk1.8.0_121\bin的目录下，如果没有配置Jdk的环境变量，就要进入目录再使用。
 
 
 
命令参数部分解释：
 
D:\soft\apache-tomcat-8.0.47-9200\conf\key\tomcat.keystore ：表示数字证书生成后的文件路径
 
36500 ：表示有效时间，36500天，默认90天
 


  
 
然后根据提示输入信息，如上图所示。
 
 
 
需要注意的是：
 
网上说“名字与姓氏”应该是域名，输成了姓名，和真正运行的时候域名不符，会出问题。（未知，待测试）
 
但我用了Mr.Li一样可以在本地运行，具体情况不清楚，先记录。
 
 
 
 
 
二、修改Tomcat的server.xml文件支持Https
 
 
 
1、server.xml的Https配置默认是注释掉的，如下：
 


  
 
2、去掉上图红色框的注释，让配置生效，默认端口为8443。然后再加上数字证书的属性，如下：
 
keystoreFile="D:\soft\apache-tomcat-8.0.47-9200\conf\key\tomcat.keystore"
 
keystorePass="tomcat123"，此密码就是生成证书时的密码。
 


  
 
 
 
属性
描述
clientAuth                                                              
如果设为true，表示Tomcat要求所有的SSL客户出示安全证书，对SSL客户进行身份验证
keystoreFile
指定keystore文件的存放位置，可以指定绝对路径，也可以指定相对于<CATALINA_HOME>（Tomcat安装目录）环境变量 的相对路径。如果此项没有设定，默认情况下，Tomcat将从当前操作系统用户的用户目录下读取名为“.keystore”的文件。
keystorePass
指定keystore的密码，如果此项没有设定，在默认情况下，Tomcat将使用“changeit”作为默认密码。
sslProtocol
指定套接字（Socket）使用的加密/解密协议，默认值为TLS，用户不应该修改这个默认值。
ciphers
指定套接字可用的用于加密的密码清单，多个密码间以逗号（,）分隔。如果此项没有设定，在默认情况下，套接字可以使用任意一个可用的密码。
 
 
三、然后就可以启动tomcat测试。
 
1、注意：Https访问的端口是8443，可以修改成别的端口。
 
 
 
效果如下：
 
IE Edge 浏览器：
 


  

  
 
 
 
 
 
Chrome内核浏览器：