iOS app 企业内部发布及Tomcat启用HTTPS协议配置

概念简介

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试 JSP 程序的首选。

HTTP 超文本传输协议（HTTP，HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。

HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。

HTTPS和HTTP的区别

一、HTTP 是超文本传输协议，信息是明文传输，HTTPS 则是具有安全性的 SSL 加密传输协议。

二、HTTPS 协议需要到 CA 申请证书，一般免费证书很少，需要交费。

三、HTTP 和 HTTPS 使用的是完全不同的连接方式，用的端口也不一样，前者是 80，后者是 443。

四、HTTP 的连接很简单，是无状态的；HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比 HTTP 协议安全。

Tomcat下载安装

Tomcat 需要在 Java 环境下运行，因此在搭建 Tomcat 前需要准备好 Java环境，此处不再详述 Java 环境的搭建。本文中 Java 版本为”jdk1.8.0_73（jre8）“。Tomcat 由 Apache 官方提供免费下载。

第一步：下载 Apache Tomcat

Tomcat 官方下载地址：http://tomcat.apache.org/
进入 Apache Tomcat 的官方页面后，在 Download 栏目下选择 Tomcat 版本后在右侧选取下载资源。此处选择的版本是”Tomcat 8.5.66，64-bit Windows zip (pgp, md5, sha1)“，即适用于在 Windows 64 位操作系统下的免安装压缩包。

第二步：解压至指定目录

将下载下来的压缩包解压到硬盘目录，该目录即为 Tomcat 的安装目录，本文中 apache-tomcat-8.5.66 被解压至 Tomcat 文件夹下。

Tomcat 配置运行

第一步：配置环境变量

右键“此电脑”，选择“属性”，打开系统属性页面（该操作同样可在控制面板→系统和安全→系统中实现）。点击“高级系统设置”，选择“用戶变量”。在”系统变量“栏目下点击”新建“。

变量名处输入”CATALINA_HOME“，变量值为 Tomcat 的安装路径，在本文中即为：E:\Program Files\apache-tomcat-8.5.66 配置完成后点击确定。

在”用戶变量“栏目下的变量列表中找到”Path“，选定后点击”编辑“。

在变量值末尾输入环境变量E:\Program Files\apache-tomcat-8.5.66\bin

第二步：使用命令提示符运行

检查配置是否成功，运行 cmd，输入“startup”命令回车，如果命令成功执行，则会启动 Tomcat 服务，并弹出 Tomcat 的执行程序。

第三步：访问 Tomcat 服务主页

在 Tomcat 服务程序运行状态下，打开浏览器，在地址栏输入”http://localhost:8080“（8080是 Tomcat 默认的端口号）后跳转，如果成功载入并显示 Tomcat 服务的主页，则说明 Tomcat 服务器环境已经成功搭建。

1、为服务器生成证书
进入控制台，切换到%JAVA_HOME%/bin目录，具体操作略。（打开DOS窗口，通过命令进入到jdk的bin目录下。下边所有步骤都是在此路径下完成。）

使用keytool为Tomcat生成证书，假定目标机器的域名是“localhost”，keystore文件想要存放在“E:\sslca\tomcat.keystore”，口令为“password”，使用如下命令生成：

keytool -genkey -v -alias tomcat -keyalg RSA -keystore E:\sslca\tomcat.keystore -validity 730

(参数简要说明：“E:\sslca\tomcat.keystore”含义是将证书文件的保存路径（其中E:\sslca，是你自己新建的，而tomcat.keystore才是自动生成的，所以要提前在某个盘下新建某个文件夹，以便放自动生成的文件，名字可以自己取，后边统一都用这个文件夹放自动生成的文件），证书文件名称是tomcat.keystore ；“-validity 730”含义是证书有效期，730表示2年，默认值是90天 “tomcat”为自定义证书名称)。

在命令行填写必要参数：
A、输入keystore密码：此处需要输入大于6个字符的字符串。
B、 “您的名字与姓氏是什么？”这是必填项，并且必须是TOMCAT部署主机的域名或者IP[如：gbcom.com 或者 10.1.25.251]（就是你将来要在浏览器中输入的访问地址），否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入“localhost”。（这块很重要）
C、你的组织单位名称是什么？”、“您的组织名称是什么？”、“您所在城市或区域名称是什么？”、“您所在的州或者省份名称是什么？”、“该单位的两字母国家代码是什么？”可以按照需要填写也可以不填写直接回车，在系统询问“正确吗？”时，对照输入信息，如果符合要求则使用键盘输入字母“y”，否则输入“n”重新填写上面的信息。
D、输入<tomcat>的主密码，这项较为重要，会在tomcat配置文件中使用，建议输入与keystore的密码一致，设置其它密码也可以，完成上述输入后，直接回车则在你在第二步中定义的位置找到生成的文件。

2、为客户端生成证书
为浏览器生成证书，以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox，证书格式应该是PKCS12，因此，使用如下命令生成：

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore E:\sslca\mykey.p12

（mykey为自定义）。

对应的证书库存放在“E:\sslca\mykey.p12”，（这一块的解释与第一步相同）客户端的CN可以是任意值。双击mykey.p12文件，即可将证书导入至浏览器（客户端）（我统一勾选的信任于本计算机包括下边第四部）。

3、让服务器信任客户端证书

由于是双向SSL认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入，必须先把客户端证书导出为一个单独的CER文件，使用如下命令：

keytool -export -alias mykey -keystore E:\sslca\mykey.p12 -storetype PKCS12 -storepass password -rfc -file E:\sslca\mykey.cer

(mykey为自定义与客户端定义的mykey要一致，password是你设置的密码)。通过以上命令，客户端证书就被我们导出到“E:\sslca\mykey.cer”文件了。

下一步，是将该文件导入到服务器的证书库，添加为一个信任证书使用命令如下：

keytool -import -v -file D:\home\mykey.cer -keystore E:\sslca\tomcat.keystore

通过list命令查看服务器的证书库，可以看到两个证书，一个是服务器证书，一个是受信任的客户端证书：

keytool -list -keystore E:\sslca\tomcat.keystore

(tomcat为你设置服务器端的证书名)。

4、让客户端信任服务器证书

由于是双向SSL认证，客户端也要验证服务器证书，因此，必须把服务器证书添加到浏览的“受信任的根证书颁发机构”。由于不能直接将keystore格式的证书库导入，必须先把服务器证书导出为一个单独的CER文件，使用如下命令：

keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file E:\sslca\tomcat.cer

(tomcat为你设置服务器端的证书名，这一步我当时不知道前边这半句所说的证书名是哪个，所以没有更改，直接按照上边的命令做的运行)。

通过以上命令，服务器证书就被我们导出到“E:\sslca\tomcat.cer”文件了。双击tomcat.cer文件，按照提示安装证书，将证书填入到“受信任的根证书颁发机构”。

一共生成4个文件:

5、配置Tomcat服务器

a、（1）打开tomcat配置文件，如：E:\Program Files\apache-tomcat-8.5.66\conf\server.xml，修改如下，

 <Connector port="8080" protocol="HTTP/1.1"connectionTimeout="20000"redirectPort="8443" />
修改参数,端口可自定义=><Connector port="80" protocol="HTTP/1.1"connectionTimeout="20000"redirectPort="443" />

（2）注释代码替换以下代码

  <!--<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"maxThreads="150" SSLEnabled="true"><SSLHostConfig><Certificate certificateKeystoreFile="conf/localhost-rsa.jks"type="RSA" /></SSLHostConfig></Connector>-->替换以下代码=>
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="E:/sslca/tomcat.keystore" keystorePass="12345678"/>

注释：

keystoreFile、keystorePass 两个参数，分别是证书文件的位置和<tomcat>的主密码（位置是刚才自动生成的文件存储的位置，密码是刚才设置的密码），在证书文件生成过程中做了设置

b、打开E:\Program Files\apache-tomcat-8.5.66\conf\web.xml，在该文件</welcome-file-list>后面加上这样一段：可以自接跳转到https

<login-config> <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name> </login-config> <security-constraint> <!-- Authorization setting for SSL --> <web-resource-collection > <web-resource-name >SSL</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>

运行https://localhost发现还有错误。再找了几个教程之后发现需要注释conf\server.xml文件中下面一行。

<!--<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />-->

至此，Tomcat配置https就完成了。

但是会发现：

一、浏览器会对 HTTPS 使用危险标识。（下边部分转载于https://blog.csdn.net/gane_cheng/article/details/53001846）

和正常的标识不同。看着会让人很不舒服。

二、浏览器默认不会加载非HTTPS域名下的javascript

我了个擦，这和早年的禁用javascript差不多了。已经影响网页的正常运行了。

三、移动设备显示页面空白

手机浏览器打开页面，也会像桌面浏览器一样弹出是否加载不受信任的页面，在微信中打开则会一片空白。

以上种种，导致自己生成的证书无法在生产环境使用。

解决以上问题，需要购买CA的证书。不过我在阿里云上看到有免费的证书申请。https://www.aliyun.com/product/cas

① 申请证书

购买过程就不详细说了。照着阿里云的提示一步一步做就好了。

证书生成后，会得到PFX类型的证书。

② Tomcat 配置PFX证书

打开 Tomcat 配置文件 conf\server.xml。

取消注释，并添加三个属性 keystoreFile，keystoreType，keystorePass。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="/你的磁盘目录/订单号.pfx"keystoreType="PKCS12"keystorePass="订单号" />

其中，keystoreFile是PFX证书文件地址，keystorePass是阿里云的订单号，keystoreType直接写PKCS12 。

③ 测试真实域名

重新启动Tomcat，访问你自己的域名，则可以正常使用了。浏览器会有绿色的域名标识，移动设备也正常了。至于http域名下的javascript，还是需要更换为https才能正常加载。

对于要不要使用 https，需要根据实际情况具体考虑，https会比http慢一些，但是会更安全。

局域网iOS企业内部发布及HTTPS服务器配置

新建立一个，访问的安装网页 test.html ，同样把 test.html放到https网站根目录，可以这样用手机safari浏览器，访问https://teso.cocoajin.org/test.html 安装

<html>
<meta http-equiv="content-type" content="text/html; charset=UTF-8" />
<head> <title>app安装 </title> </head>
<body>
<center>
<h2> 请使用苹果的safari浏览器打开本页面，然后点击 安装  </h2>
<font size="13">
<h1><a href="itms-services://?action=download-manifest&url=https://10.196.172.172/iosapp/plist/scada2.plist"> 安装</a>  </h1>
</font>
</center>
</body>
</html>

重点是这句

<h1><a href="itms-services://?action=download-manifest&url=https://10.196.172.172/iosapp/plist/scada2.plist"> 安装</a>  </h1>

指向你的https服务器根目录下的 Testapp.plist文件，手机访问它，，它去找指定目录下的 Testapp.ipa，然后根据协议签名规则在手机上下载安装 Testapp

注意：如果你手机测试访问 test.html无法安装，就在服务器的mime.types 里面，添加一下

application/octet-stream ipa
text/xml plist

mime.types文件目录为 linux下 /etc/mime.types

window服务器 apache/conf/myme.types

4. 上面的都配置完之后，

用 iphone 的safari 浏览器打开 https://10.196.172.172/test.html ,即你指定的访问安装页面，然后在手机里面，点击安装，，然后，打开，

如果你的手机第一次安装某企业证书发布的app时，会提示你信任一下证书，即可；

个人的测试页面及服务器以后可能停掉，请仔细查看流程，自行搭建企业发布平台

Testapp.plist文件示例:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict><key>items</key><array><dict><key>assets</key><array><dict><key>kind</key><string>software-package</string><key>url</key><string>https://10.196.172.172/master/baoke.ipa</string></dict></array><key>metadata</key><dict><key>bundle-identifier</key><string>com.xx.xx.xx</string><key>bundle-version</key><string>1</string><key>kind</key><string>software</string><key>title</key><string>baoke</string></dict></dict></array>
</dict>
</plist>