今日为降低项目风险,先把手头功能开发停下来,搞搞SSL证书。
1 先申请一个SSL证书,申请了一个免费一年的, AsiaTrust,当然申请证书要有域名才行。
2 下载证书文件,因为是通过腾讯云申请的,所以自动生成了Tomcat的JKS文件。
3 把证书放到tomcat conf目录下,配置tomcat 的server.xml以及web.xml
Server.xml <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" keystoreFile="conf/cert.jks" keystorePass="****!" clientAuth="false" sslProtocol="TLS" /> Web.xml <security-constraint> <web-resource-collection> <web-resource-name>Secured</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
4 用 bin/configtest.sh测试一下,注意非root用户不能绑定<1024的port。
可以采用centos iptables进行转发,不赘述。
5 用浏览器 https://和http分别访问,可以看到如下小锁。http访问会自动转发至https
6 小程序上,在小程序后台将request合法域名填写,并且在开发工具中右上角,点击详情-项目配置。
刷新一下域名 信息。
转到本地设置,将”不校验合法域名“打勾去掉。
ok!