幫 Apache Tomcat 7/9 上 HTTPS

..

9 月 2 2022

幫 Apache Tomcat 7/9 上 HTTPS

近日敝單位踩到 HSTS 的地雷,於是就着手解決問題…

先說地雷的引爆點: 新上線 example.com 這網站給了 「strict-transport-security: max-age=31536000; includeSubDomains」 這組 HTTP header,使得原本透過 Apache Tomcat 提供服務的 http://system.example.com.tw:8080/ 網頁瀏覽異常;因瀏覽器參照 HSTS 後,只把 「http://」 改為 「https://」 ,瀏覽器不知道應該同步修改連接埠號(port 8080)。

因為這幾台伺服器的網頁服務僅使用 Apache Tomcat,沒有 https://httpd.apache.org/、nginx 等其他軟件佔用 port 80 與 443,用 iptables 作 port redirection 就可以擺平,調整的方式會比較簡單。

需要作的事的大概就這些:

  • 取得 SSL certificates,並確認 renew 的時候可重新啟動 Apache Tomcat
  • 安裝 Tomcat Native
  • 調整 Tomcat 的 server.xml
  • 調整 iptables rules

Apache Tomcat 7 的 server.xml 用這段(某些參數視狀況調整):

Apache Tomcat 9 的 server.xml 用這段(某些參數視狀況調整),支援 HTTP/2:

iptables rules 增加以下這兩條:

 /sbin/iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 /sbin/iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8443

By 0 • Tags: , , , ,


想在手機閱讀更多網站架設資訊?下載【香港矽谷】Android應用
» 原文網站
分享到Facebook
JoeHorn
JoeHorn 作者
訂閱 4


香港矽谷 | Copyright 2023 © 版權所有
最新文章 | 聯絡我們 免費下載 香港矽谷 Android 應用程式   Facebook Fan Page
使用條款
技術平台: Nasthon Systems