配置SSL證書并開啟HTTPS安全訪問
安全套接字層(SSL)加密是用于保護(hù)通過Internet發(fā)送的數(shù)據(jù)的最常見方法。本文介紹如何將從受信任證書頒發(fā)機(jī)構(gòu)購買的SSL證書綁定到EDAS應(yīng)用。
購買SSL證書
綁定SSL證書到WAR包部署的應(yīng)用
如需為使用WAR包直接部署的應(yīng)用綁定SSL,需要首先將證書文件打包到WAR包中,然后使用WAR包部署應(yīng)用,最后修改Tomcat設(shè)置項的server.xml文件的Connector參數(shù)。
將證書文件打包到WAR包中,并記錄下證書文件路徑,例如:jks_path。
登錄EDAS控制臺,使用打包好的WAR包部署應(yīng)用。相關(guān)操作,請參見在ECS集群中創(chuàng)建并部署應(yīng)用。
在左側(cè)導(dǎo)航欄,單擊,在頂部菜單欄選擇地域,并在頁面上方選擇微服務(wù)空間,然后在應(yīng)用列表頁面單擊具體的應(yīng)用名稱。
在應(yīng)用的基本信息頁面的應(yīng)用設(shè)置區(qū)域,單擊Tomcat Context右側(cè)的編輯。
在應(yīng)用設(shè)置對話框,單擊展開高級設(shè)置。
說明高級設(shè)置功能僅支持使用WAR包部署的應(yīng)用。
在server.xml中,修改Connector參數(shù)為以下配置,修改完成后單擊配置Tomcat。
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="../app/{app_ID}/{app_name}/{jks_path}" keystoreType="PKCS12" keystorePass="jks_password" clientAuth="false" SSLProtocol="TLS" connectionTimeout="15000" maxParameterCount="1000" maxThreads="400" maxHttpHeaderSize="16384" maxPostSize="209715200" acceptCount="200" useBodyEncodingForURI="true" URIEncoding="ISO-8859-1">重啟應(yīng)用,該配置即可生效。
綁定SSL到JAR包部署的應(yīng)用
如需為使用JAR包直接部署的應(yīng)用綁定SSL,首先需要修改application.properties文件開啟SSL配置,然后將證書文件一同打包在JAR包中,使用JAR包部署應(yīng)用,最后進(jìn)入應(yīng)用設(shè)置頁面修改應(yīng)用的Tomcat的應(yīng)用端口為8443。
修改
application.properties文件開啟SSL配置。配置示例如下:server.ssl.enabled=true server.ssl.key-store=classpath:{jks} server.ssl.key-store-password=jks_password server.ssl.key-store-type=JKS將證書文件放置于resources路徑下,并與application.properties在同一個文件層級,然后將部署包打包成JAR包。
使用打包好的JAR包部署應(yīng)用。具體操作,請參見在ECS集群中創(chuàng)建并部署應(yīng)用。
登錄EDAS控制臺。
在左側(cè)導(dǎo)航欄,單擊,在頂部菜單欄選擇地域,并在頁面上方選擇微服務(wù)空間,然后在應(yīng)用列表頁面單擊具體的應(yīng)用名稱。
在應(yīng)用的基本信息頁面的應(yīng)用設(shè)置區(qū)域,單擊Tomcat Context右側(cè)的編輯。
在應(yīng)用設(shè)置對話框修改應(yīng)用端口為8443,單擊配置Tomcat。
重啟應(yīng)用,該配置即可生效。
綁定SSL到鏡像部署的應(yīng)用
使用WAR包和JAR包打包Docker鏡像均可用于部署應(yīng)用,如需為鏡像部署的應(yīng)用綁定SSL,請執(zhí)行以下操作。
基于WAR包制作鏡像
如需為使用WAR包制作的鏡像來部署的應(yīng)用綁定SSL,您需在打包Docker鏡像時修改Tomcat的配置參數(shù),并將證書文件一同打包到鏡像。
下載Ali-Tomcat,保存后解壓至相應(yīng)的目錄(例如d:\work\tomcat\)。
在Tomcat的server.xml中修改Connector配置。配置示例如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true" keystoreFile="../app/{app_ID}/{app_name}/{jks_path}" keystoreType="PKCS12" keystorePass="jks_password">將修改后的server.xml和證書文件放置在Dockerfile同級目錄下,并在Dockerfile增加以下兩條設(shè)置。
ADD server.xml ${CATALINA_HOME}/conf/ ADD {jks} ${CATALINA_HOME}/conf/打包鏡像并進(jìn)行部署。
基于JAR包制作鏡像
如需為使用JAR包制作的鏡像來部署的應(yīng)用綁定SSL,您需首先修改application.properties文件開啟SSL配置,并將證書文件一同打包到用于制作鏡像的JAR包,然后在Dockerfile中修改應(yīng)用端口,以開啟SSL配置。
修改JAR包配置參數(shù)并生成JAR包,相關(guān)操作請參見綁定SSL到JAR包部署的應(yīng)用。
在Dockerfile的start.sh中修改
server.port=8443。打包鏡像并進(jìn)行部署。
為EDAS應(yīng)用綁定SLB
為部署在ECS集群中的應(yīng)用綁定一個公網(wǎng)SLB,并配置監(jiān)聽協(xié)議為HTTPS。
您需在SLB控制臺提前創(chuàng)建好SLB實例,相關(guān)操作請參見創(chuàng)建實例。
登錄EDAS控制臺。
在左側(cè)導(dǎo)航欄,單擊,在頂部菜單欄選擇地域,并在頁面上方選擇微服務(wù)空間,然后在應(yīng)用列表頁面單擊具體的應(yīng)用名稱。
在應(yīng)用的基本信息頁面的應(yīng)用設(shè)置區(qū)域,單擊負(fù)載均衡(公網(wǎng))右側(cè)的添加。
在添加負(fù)載均衡(公)對話框為應(yīng)用綁定一個SLB。相關(guān)步驟,請參見應(yīng)用獨享負(fù)載均衡實例。
重要您需設(shè)置監(jiān)聽端口為443。
驗證SSL連接
在瀏覽器的地址欄中,輸入應(yīng)用的IP或域名,并且在IP或域名前加上前綴https://, 查看是否能夠進(jìn)入應(yīng)用首頁,如能順利進(jìn)入則說明應(yīng)用已成功綁定SSL。
更多信息
使用SLB給應(yīng)用配置SSL證書的相關(guān)操作,請參見添加HTTPS監(jiān)聽。