如何为 Jetty 虚拟主机配置 SSL-TLS 证书以确保安全连接？

8小时前 • 虚拟主机 • 阅读 2

为 Jetty 虚拟主机配置 SSL/TLS 证书以确保安全连接

Jetty 是一个开源的 Java HTTP(S) 服务器和 Servlet 容器，广泛用于各种 Web 应用程序。为了确保与客户端之间的安全通信，需要为 Jetty 配置 SSL/TLS 证书。本文将介绍如何为 Jetty 的虚拟主机配置 SSL/TLS 证书。

如何为 Jetty 虚拟主机配置 SSL-TLS 证书以确保安全连接？

准备工作

在开始配置之前，请确保您已经具备以下条件：

1. 已经安装并运行了 Jetty 服务器；

2. 拥有有效的 SSL/TLS 证书（可以是自签名证书或由受信任的证书颁发机构签发的证书）；

3. 如果使用的是 Let’s Encrypt 等自动化工具生成的证书，请确保其已正确下载到本地。

获取 SSL/TLS 证书

如果您还没有获得 SSL/TLS 证书，则需要从受信任的 CA 获取。通常情况下，购买商业证书是最可靠的选择，但对于开发环境或者个人网站来说，也可以选择免费的 Let’s Encrypt 证书。

对于某些特定需求，如测试目的，可以创建自签名证书。请注意，浏览器会提示用户关于自签名证书的安全警告信息。

准备 Jetty 配置文件

Jetty 的配置主要通过 XML 文件完成。找到您的 Jetty 安装目录下的 etc 目录，并编辑 jetty-https.xml 文件（如果没有此文件，可以在 examples 等示例配置中复制一份作为模板）。我们需要在此文件中添加 SSL 连接器的相关设置。

导入 SSL/TLS 证书

将获取到的 SSL/TLS 证书文件以及私钥保存到适当位置。接下来，使用 keytool 或 openssl 命令行工具将这些文件转换为适合 Jetty 使用的格式，并将其导入到 Java Keystore 中。

例如，如果您有一个 PEM 格式的证书 chain.pem 和私钥 privkey.pem，您可以执行以下命令来创建 JKS 文件：

openssl pkcs12 -export -in chain.pem -inkey privkey.pem -out keystore.p12 -name myalias

然后使用 keytool 将 P12 文件导入到 JKS 中：

keytool -importkeystore -srckeystore keystore.p12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

修改 Jetty HTTPS 配置

打开 jetty-https.xml 文件，在下面添加如下代码段：

接下来，在文件中定义 SSL 上下文工厂：

<New id="sslContextFactory" class="org.eclipse.jetty.util.ssl.SslContextFactory"> <Set name="KeyStorePath">/path/to/your/keystore.jks</Set> <Set name="KeyStorePassword">yourpassword</Set> <Set name="KeyManagerPassword">yourpassword</Set> <Set name="TrustStorePath">/path/to/your/truststore.jks</Set> <Set name="TrustStorePassword">yourpassword</Set> </New>

请根据实际情况替换路径和密码。