7

我一直在 Apache Tomcat 7 中使用通配符 SSL 证书。但现在我必须更新,我看到有这些 EV(扩展验证)SSL 证书,浏览器显示一个漂亮的绿色条,让用户感觉更好。这对我的网站很重要,所以我想要它!但是我有多个子域,显然 EV SSL 证书本质上不是通配符。好吧,我有一定数量的子域,我可以为每个子域购买一堆(我肯定需要至少 2 个)EV SSL 证书。

我可以在 Tomcat 7 中进行设置,以便在 1 个 Web 应用程序上有多个 SSL 证书吗?为这台机器分配多个 IP 地址对我来说不是问题。

4

5 回答 5

11

如果没有 Java (6) 中不支持的服务器名称指示 (SNI),则每个 IP 地址需要一个证书。

您可以使用address 属性将 Tomcat 配置为使用具有不同 IP 地址和证书的多个连接器。

例如:

<Connector 
       port="8443" maxThreads="200" address="10.0.0.1"
       scheme="https" secure="true" SSLEnabled="true"
       keystoreFile="keystore1.jks" keystorePass="..."
       clientAuth="false" sslProtocol="TLS"/>
<Connector 
       port="8443" maxThreads="200" address="10.0.0.2"
       scheme="https" secure="true" SSLEnabled="true"
       keystoreFile="keystore2.jks" keystorePass="..."
       clientAuth="false" sslProtocol="TLS"/>

如果需要,您也可以使用相同的密钥库,并使用keyAlias属性 (in Connector) 告诉连接器使用哪个密钥/证书(基于密钥库中的别名)。

于 2011-06-14T11:53:47.490 回答
3

我不确定,如果“SNI”真的相关。

但是在您的情况下,典型的解决方案是所谓的 ssloffloading 或 ssl Termination:即将您的 tomcat 放在 apache 后面,该 apache 配置为在同一个 ip 上使用多个虚拟主机/域名。您可以为 apache 中的每个虚拟主机配置以使用其自己的 SSL 证书。

这里有这个主题的分步指南:

http://milestonenext.blogspot.de/2012/09/ssl-offloading-with-modjk-part-1.html

于 2013-01-27T07:19:54.080 回答
2

我正在使用 tomcat 8.5,现在可以使用多个 SSL/多域配置 tomcat。这是我的配置。

    <Connector port="443" protocol="org.apache.coyote.http11.Http11AprProtocol"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true" 
           defaultSSLHostConfigName="localhost" >

    <UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
    <SSLHostConfig hostName="localhost">
        <Certificate certificateKeyFile="/$path/privkey.pem"
                     certificateFile="/$path/certificate.pem"
                     certificateChainFile="/$path/chain.pem"
                     type="RSA" />
    </SSLHostConfig>
       <SSLHostConfig hostName="domainname.com">
        <Certificate certificateKeyFile="/$path/privkey.pem"
                     certificateFile="/$path/certificate.pem"
                     certificateChainFile="/$path/chain.pem"
                     type="RSA" />
    </SSLHostConfig>

</Connector>
于 2020-05-17T22:49:00.393 回答
1

我刚刚让它在具有多个 SSL 和 IP 的服务器上工作。

以这种方式添加 IP:
http ://www.loadtestingtool.com/help/how-setup-ip.shtml

添加了代码以使服务器使用“密码”(当拥有 2048 位密钥时)使用最大可能的安全性。

首先测试这将通过这种方式使用自签名密钥:http:
//community.jboss.org/wiki/GeneratingSelfSignedCertificateWithKeytool
请注意,此页面中的测试在“-keystore”文本的开头有错误字符(在多个地方)。

这是代码:

<Connector protocol="org.apache.coyote.http11.Http11Protocol" address="###.###.###.##1" port="443" minSpareThreads="5"
    enableLookups="true" acceptCount="100" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true" keystoreFile="key1.key"
    keystorePass="password1" clientAuth="false" sslProtocol="TLS"
    ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"/>

<Connector protocol="org.apache.coyote.http11.Http11Protocol" address="###.###.###.##2" port="443" minSpareThreads="5"
    enableLookups="true" acceptCount="100" maxThreads="200"
    scheme="https" secure="true" SSLEnabled="true" keystoreFile="key2.key"
    keystorePass="password2" clientAuth="false" sslProtocol="TLS"
    ciphers="SSL_RSA_WITH_RC4_128_MD5, SSL_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, SSL_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA, SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA"/>
于 2011-11-23T07:39:36.007 回答
1

您可以让生活更轻松并获得EV SAN(也称为 UCC),并将每个域添加为主题备用名称字段中的条目。如果想使用多个 IP 地址,只需导出证书并将其重新导入每个 IP 地址(如果您正在运行 Windows,http://www.ssltools.com/manager 非常适合)。EV SAN 证书的一个很好的例子是在https://www.ssl.com上找到的证书,只需检查它。

于 2013-01-21T08:35:40.183 回答