单域名下多子域名同时认证HTTPS

参考:

http://blog.csdn.net/wzj0808/article/details/53401101

http://www.cnblogs.com/silin6/p/5931640.html

前言:

在完成了上一篇博文之后

用Let's Encrypt实现Https(Windows环境+Tomcat+Java)

遇到了新问题,那就是一个Tomcat下配置了多个网站,结果由于在tomcat里配置了默认使用SSL认证,导致存放在同一tomcat里的项目,都要使用https,然而那些没有https证书的项目就很尴尬了,比如:

在手机上访问就更尴尬了,会蹦出来安全提示弹框,说该网站证书不安全,是否继续访问,点继续才能访问.

所以,配置多域名证书势在必行

说个题外话:

(貌似)Tomcat下(一个IP)只能配置一个CA证书,多个的话会让前面的失效

所以,那就得多个域名签一个证书.

注意:这里的多个域名,我这里使用的是同一host的,多个子域名,没试过不同host的情况

下面开始正题

与前一篇博文略有不同,主要是前9步,后续相同这里就不再说了

1,用CMD进入命令窗口,跳转至letsencrypt客户端解压缩后的文件,输入letsencrypt.exe --san

2,接下来就是邮箱认证什么的,由于我之前认证过了,这里被跳过了,没法截图

3,这一步,按M

4,输入host名

注意:比如你要配置

a.xyz.com

b.xyz.com

那么这里就输入xyz.com,是不带子域名的

5,输入全部你想认证的子域名,用英文逗号隔开

6,**重点**

这里要的是将来存放验证的路径,这个认证会依次顺序访问第五步填写的子域名,然后请求一个路径(/.well-known/acme-challenge/+生成的随机码),验证通过了就下发证书

这里的路径存放所有要验证的网址的配置文件,与单域名不同

我就存放在letsencrypt目录下

7,认证域名

单域名可以指定认证网址,比如:www.gutongxue.com/check/.well-known/acme-challenge/+生成的随机码

但是多域名认证的话,必须为根目录,就比如

 www.gutongxue.com/.well-known/acme-challenge/+生成的随机码

 student.gutongxue.com/.well-known/acme-challenge/+生成的随机码

所以写验证文件的时候就要做好准备了,另外文件存放的路径也不对了,所以我对验证的方法稍作修改,贴在下面了:

这个是SpringMVC的Java代码,其他的如有敬请自行编写,我并不会

@RequestMapping("/.well-known/acme-challenge/*")
    public ResponseEntity<String> check(HttpServletRequest request, HttpServletResponse response){
        HttpHeaders responseHeaders = new HttpHeaders();
        responseHeaders.set("Content-Type", "application/json;charset=UTF-8");
        String result="";
        try {
            String URI=request.getRequestURI();
            URI=URI.split("/")[URI.split("/").length-1];
            //文件路径填写你们上一步指定的路径+\.well-known\acme-challenge\
            File file=new File("C:\\Users\\Administrator\\Desktop\\letsencrypt-win-simple.V1.9.1\\.well-known\\acme-challenge\\"+URI);
            InputStream is = new FileInputStream(file);
            // 设置response参数，可以打开下载页面
            response.reset();
            response.setContentType("application/vnd.ms-excel;charset=utf-8");
            response.setHeader("Content-Disposition", "attachment;filename="+ new String(("验证文件").getBytes(), "iso-8859-1"));
            ServletOutputStream out = response.getOutputStream();
            BufferedInputStream bis = null;
            BufferedOutputStream bos = null;
            try {
                bis = new BufferedInputStream(is);
                bos = new BufferedOutputStream(out);
                byte[] buff = new byte[2048];
                int bytesRead;
                // Simple read/write loop.
                while (-1 != (bytesRead = bis.read(buff, 0, buff.length))) {
                    bos.write(buff, 0, bytesRead);
                }
            } catch (final IOException e) {
                throw e;
            } finally {
                if (bis != null)
                    bis.close();
                if (bos != null)
                    bos.close();
            }
        }catch (Exception e){

        }
        return new ResponseEntity<String>(result, responseHeaders, HttpStatus.OK);
    }

记住,生成文件的路径是在这里:

每个域名对应的项目都要放这么一段代码,一模一样的就行,然后,没完

8,因为你看到了,认证文件的路径开头是.开头的(.well-known),有的时候可能认证程序不认识,没法通过,所以要写个文件mimeMap.xml,放在该项目的根目录下(个人建议是每个项目都放,就1kb而已),根目录在JavaWeb项目里就是这:

内容是:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <staticContent>
            <mimeMap fileExtension="." mimeType="text/plain" />
        </staticContent>
    </system.webServer>
</configuration>

9,回到命令行,回车认证

10,与之前的博文第十步一样,后面也都一样,这里就不再放了

后记:

目前还没有单Tomcat配多host的需求

以后有需求我再研究,如果你们遇到了这个情况,请搜索:

tomcat 实现多域名多IP多SSL证书

原理是在指定CA证书的时候,多添一个属性address,多配一个IP

但我觉得应该还有一个CA证书配置多个host的办法吧,先放一放,以后需要了再研究吧