Tomcat 生产部署中的 SSL 证书配置：HTTPS 启用与安全加固

在 Tomcat 生产环境中配置 SSL 证书是启用 HTTPS 的关键步骤，能有效加密数据传输，防止中间人攻击。同时，安全加固可提升系统抗风险能力。本指南将逐步引导您完成整个过程，确保配置可靠且符合最佳实践。结构如下：

1. 准备工作：获取 SSL 证书
2. 配置 Tomcat 启用 HTTPS
3. 安全加固措施
4. 测试与验证
5. 常见问题解答

1. 准备工作：获取 SSL 证书

在配置前，需从可信证书颁发机构（CA）如 Let's Encrypt 或商业 CA 获取 SSL 证书。证书通常包括：

• 证书文件（如 domain.crt）
• 私钥文件（如 domain.key）
• CA 链文件（如 ca-bundle.crt）

推荐使用 RSA 密钥，长度至少 $2048$ 位（即 $2048$ bit），以保障强度。生成密钥对命令示例（使用 OpenSSL）：

openssl genrsa -out domain.key 2048
openssl req -new -key domain.key -out domain.csr
# 将 CSR 提交给 CA 获取证书

2. 配置 Tomcat 启用 HTTPS

Tomcat 通过修改 server.xml 文件启用 HTTPS。步骤如下：

• 步骤 1：创建 Keystore 将证书和私钥导入 Java Keystore（JKS）文件。假设证书文件为 domain.crt，私钥为 domain.key，CA 链为 ca-bundle.crt：

  # 创建 PKCS12 文件
  openssl pkcs12 -export -in domain.crt -inkey domain.key -certfile ca-bundle.crt -out domain.p12 -name tomcat -passout pass:your_password
  
  # 导入到 JKS
  keytool -importkeystore -deststorepass your_password -destkeypass your_password -destkeystore tomcat.keystore -srckeystore domain.p12 -srcstoretype PKCS12 -srcstorepass your_password -alias tomcat
  

  将生成的 tomcat.keystore 文件放置于 Tomcat 的 conf 目录（如 /opt/tomcat/conf）。

• 步骤 2：修改 server.xml 打开 conf/server.xml，添加或修改 Connector 元素。示例配置：

  <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
             maxThreads="150" SSLEnabled="true">
      <SSLHostConfig>
          <Certificate certificateKeystoreFile="conf/tomcat.keystore"
                       certificateKeystorePassword="your_password"
                       type="RSA" />
      </SSLHostConfig>
  </Connector>
  

  关键参数：

  • port: HTTPS 端口（默认 8443）。
  • protocol: 使用 NIO 协议提高性能。
  • certificateKeystoreFile: Keystore 路径。
  • certificateKeystorePassword: Keystore 密码（替换为实际密码）。

• 步骤 3：重启 Tomcat 执行命令重启服务：

  sudo systemctl restart tomcat
  # 或使用 bin/startup.sh
  

3. 安全加固措施

仅启用 HTTPS 不足，需额外加固以防范漏洞：

• 禁用弱协议和加密套件
  在 server.xml 的 Connector 中添加属性，禁用不安全的 SSL/TLS 版本（如 SSLv2、SSLv3）和弱加密算法：

  <SSLHostConfig>
      <Certificate ... />
      <SSLHostConfig protocols="TLSv1.2,TLSv1.3" ciphers="TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_AES_256_GCM_SHA384" />
  </SSLHostConfig>
  

  这里 protocols 指定安全协议版本，ciphers 使用强套件（如 AES-256）。

• 启用 HTTP 严格传输安全（HSTS）
  在 Web 应用的 web.xml 中添加 HSTS 头，强制浏览器使用 HTTPS：

  <filter>
      <filter-name>HSTSFilter</filter-name>
      <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
      <init-param>
          <param-name>hstsEnabled</param-name>
          <param-value>true</param-value>
      </init-param>
      <init-param>
          <param-name>hstsMaxAgeSeconds</param-name>
          <param-value>31536000</param-value> <!-- 1年 -->
      </init-param>
  </filter>
  

• 其他建议

  • 使用强密码：密码长度至少 $12$ 字符，包含大小写字母、数字和符号。
  • 定期更新证书：证书有效期通常为 $90$ 天或 $1$ 年，设置自动续期。
  • 限制访问：在防火墙中仅开放必要端口（如 8443）。

4. 测试与验证

配置后需测试 HTTPS 是否生效：

• 浏览器测试
  访问 https://your-domain:8443，检查地址栏是否显示锁图标。
• 命令行工具
  使用 OpenSSL 验证协议和加密套件：

  openssl s_client -connect your-domain:8443 -servername your-domain -tls1_2
  # 输出应显示 "TLSv1.2" 和强加密套件
  

• 在线工具
  使用 SSL Labs 扫描，确保评级为 A 或 A+。

5. 常见问题解答

• Q: 证书导入失败怎么办？
  A: 检查 Keystore 密码和文件权限。确保使用 keytool -list -keystore tomcat.keystore 验证内容。

• Q: HTTPS 连接慢如何优化？
  A: 启用会话复用（在 server.xml 添加 sessionCacheSize="1000"）或使用硬件加速。

• Q: 如何自动化证书更新？
  A: 结合 Certbot 和 cron 任务，例如每 $60$ 天自动续期 Let's Encrypt 证书。

通过以上步骤，您已成功在 Tomcat 生产环境中配置 SSL 证书并加固安全。始终遵循最小权限原则和定期审计，以维持系统可靠性。