全部產品
Search

搜尋本產品

    Certificate Management Service:在Jetty伺服器安裝SSL認證(Linux)

    文件中心

    Certificate Management Service:在Jetty伺服器安裝SSL認證(Linux)

    更新時間:Nov 19, 2025

    預設情況下 Jetty 伺服器通過 HTTP 傳輸資料,這會使 Web 服務面臨資訊泄露和被劫持的風險。通過為其配置 SSL 憑證,可啟用 HTTPS 協議,對用戶端和伺服器之間的通訊進行加密,從而保障資料轉送安全、驗證伺服器身份並提升使用者信任。

    重要

    本文以Linux作業系統、jetty-distribution-9.4.51.v20230217為例介紹,不同版本的作業系統或Jetty伺服器,部署操作可能有所差異。

    適用範圍

    開始配置前,確保滿足以下條件:

    • 認證狀態:已擁有由權威機構簽發的 SSL 憑證。若認證即將到期或已到期,請先續約SSL認證。

    • 網域名稱匹配:確保認證能夠匹配所有需保護的網域名稱。如需添加或修改網域名稱,可根據需求購買正式認證追加和更換網域名稱

      • 精確網域名稱:僅對指定網域名稱生效。

        • example.com 僅對 example.com 生效。

        • www.example.com 僅對 www.example.com 生效。

      • 萬用字元網域名稱:僅對其一級子網域名稱生效。

        • *.example.com 對 www.example.coma.example.com 等一級子網域名稱生效。

        • *.example.com 對根網域名稱 example.com 和多級子網域名稱 a.b.example.com 不生效。

      說明

      如需匹配多級子網域名稱,綁定網域名稱中需包含該網域名稱(如 a.b.example.com),或包含相應的萬用字元網域名稱(如 *.b.example.com)。

    • 伺服器許可權:需要使用 root 賬戶或一個具有 sudo 許可權的賬戶。

    • 網域名稱解析:網域名稱已配置解析記錄並解析至伺服器的公網 IP。

    操作步驟

    步驟一:下載SSL認證

    1. 進入SSL認證管理頁面,在目標認證操作列單擊更多進入認證詳情頁面,然後在下載頁簽中下載伺服器類型JKS的認證。

      說明

      JKS是Java專用的密鑰庫格式,適合主要在Java環境下使用。

    2. 解壓後的檔案包含認證檔案(.jks尾碼,且含完整憑證鏈結)和認證密碼檔案(jks-password.txt)。

    步驟三:配置系統與網路環境

    此步驟確保應用有權監聽指定連接埠,並且安全性群組和防火牆允許外部流量訪問。

    1. 在伺服器終端執行以下命令,檢測443連接埠的開放情況:

      RHEL/CentOS

      command -v nc > /dev/null 2>&1 || sudo yum install -y nc
# 請將以下的 <當前伺服器的公網 IP> 替換為當前伺服器的公網 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l 443 & sleep 1; nc -w 3 -vz <當前伺服器的公網 IP> 443

      如果輸出 Ncat: Connected to <當前伺服器公網 IP>:443,則表明443連接埠已開放。否則需在安全性群組和防火牆中開放443連接埠。

      Debian/Ubuntu

      command -v nc > /dev/null 2>&1 || sudo apt-get install -y netcat
# 請將以下的 <當前伺服器的公網 IP> 替換為當前伺服器的公網 IP
sudo ss -tlnp | grep -q ':443 ' || sudo nc -l -p 443 & sleep 1; nc -w 3 -vz <當前伺服器的公網 IP> 443

      若輸出 Connection to <當前伺服器公網 IP> port [tcp/https] succeeded![<當前伺服器公網 IP>] 443 (https) open,則表明443連接埠已開放。否則需在安全性群組和防火牆中開放443連接埠。

    2. 在安全性群組配置開放443連接埠。

      重要

      若您的伺服器部署在雲平台,請確保其安全性群組已開放 443 連接埠 (TCP),否則外部無法訪問服務。以下操作以阿里雲 ECS 為例,其他雲平台請參考其官方文檔。

      進入Elastic Compute Service執行個體,單擊目標執行個體名稱進入執行個體詳情頁面,請參考添加安全性群組規則,在安全性群組中添加一條授權策略允許協議類型為 TCP、目的連接埠範圍為 HTTPS(443)、授權對象任何位置(0.0.0.0/0)的規則。

    3. 在防火牆中開放443連接埠。

      執行以下命令,識別系統當前的防火牆服務類型:

      if command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet firewalld; then
    echo "firewalld"
elif command -v ufw >/dev/null 2>&1 && sudo ufw status | grep -qw active; then
    echo "ufw"
elif command -v nft >/dev/null 2>&1 && sudo nft list ruleset 2>/dev/null | grep -q 'table'; then
    echo "nftables"
elif command -v systemctl >/dev/null 2>&1 && systemctl is-active --quiet iptables; then
    echo "iptables"
elif command -v iptables >/dev/null 2>&1 && sudo iptables -L 2>/dev/null | grep -qE 'REJECT|DROP|ACCEPT'; then
    echo "iptables"
else
    echo "none"
fi

      若輸出為 none,則無需進一步操作。否則,請根據輸出的類型(firewalldufwnftablesiptables),執行以下命令開放 443 連接埠:

      firewalld

      sudo firewall-cmd --permanent --add-port=443/tcp && sudo firewall-cmd --reload

      ufw

      sudo ufw allow 443/tcp

      nftables

      sudo nft add table inet filter 2>/dev/null
sudo nft add chain inet filter input '{ type filter hook input priority 0; }' 2>/dev/null
sudo nft add rule inet filter input tcp dport 443 counter accept 2>/dev/null

      iptables

      sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

      為避免 iptables 規則在系統重啟後失效,請執行以下命令持久化 iptables 規則:

      RHEL/CentOS
      sudo yum install -y iptables-services
sudo service iptables save
      Debian/Ubuntu
      sudo apt-get install -y iptables-persistent
sudo iptables-save | sudo tee /etc/iptables/rules.v4 >/dev/null

    步驟三:在Jetty伺服器安裝SSL認證

    1. 建立並進入 Jetty 的工作目錄($JETTY_BASE),在Jetty的工作目錄下建立一個用於存放認證的cert目錄。

      重要

      將 Jetty 的安裝目錄($JETTY_HOME)與工作目錄($JETTY_BASE)分離,便於日後升級和維護。

      # 樣本:假設 Jetty 安裝在 /usr/local/jetty,應用和配置放在 /var/www/my-app
export JETTY_HOME=/usr/local/jetty
export JETTY_BASE=/var/www/my-app

# 建立必要的目錄結構,用於存放認證檔案、網站代碼資源等。
mkdir -p $JETTY_BASE/cert
mkdir -p $JETTY_BASE/webapps

# 後續操作建議在 $JETTY_BASE 目錄中進行
cd $JETTY_BASE

    2. 將認證檔案上傳至建立完成的cert目錄。

      說明

      您可以使用遠程登入工具的本地檔案上傳功能來上傳檔案。例如PuTTYXshellWinSCP等工具。如果您使用的是阿里雲Elastic Compute Service,關於上傳檔案的具體操作,請參見上傳或下載檔案

    3. 啟用 Jetty 的 ssl 模組,並指定認證資訊。

      1. $JETTY_BASE 目錄下,執行以下命令初始化 ssl 模組。

        # 該命令會在 $JETTY_BASE/start.d/ 目錄下產生 ssl.ini 和 https.ini 設定檔。
java -jar $JETTY_HOME/start.jar --add-to-start=ssl

      2. 編輯 $JETTY_BASE/start.d/ssl.ini 檔案,填入憑證路徑和密碼。

        # 執行一下命令進入編輯模式,準備填寫認證的相關配置資訊
vim $JETTY_BASE/start.d/ssl.ini

      3. 找到並修改以下參數,確保它們沒有被 # 注釋。對於從阿里雲下載的 JKS 認證,keyStorePasswordkeyManagerPassword 使用相同的密碼。

        # ---------------------------------------
# SSL Context Factory KeyStore Configuration
# ---------------------------------------
# jetty.ssl.keystore.path 已廢棄,請使用 jetty.ssl.keyStorePath
jetty.ssl.keyStorePath=cert/your_domain.jks

# jetty.ssl.keystore.password 已廢棄,請使用 jetty.ssl.keyStorePassword
jetty.ssl.keyStorePassword=[jks-password.txt檔案中的密碼]

# jetty.ssl.keymanager.password 已廢棄,請使用 jetty.ssl.keyManagerPassword
jetty.ssl.keyManagerPassword=[jks-password.txt檔案中的密碼]

    步驟四:重新啟動Jetty服務

    $JETTY_BASE 目錄下,啟動 Jetty 伺服器。

    說明

    由於 443 是特權連接埠,需要使用 sudo 啟動。

    # 進入Jetty工作目錄。
cd $JETTY_BASE

# 重啟服務。
sudo java -jar $JETTY_HOME/start.jar

    步驟五:驗證SSL是否安裝成功

    1. 請通過 HTTPS 訪問您已綁定認證的網域名稱(如 https://example.comexample.com 需替換為實際網域名稱)。

    2. 若瀏覽器地址欄顯示安全鎖表徵圖,說明認證已成功部署。如訪問異常或未顯示安全鎖,請先清除瀏覽器緩衝或使用無痕(隱私)模式重試。

      image

      Chrome 瀏覽器自 117 版本起,地址欄中的image已被新的image替代,需單擊該表徵圖後查看安全鎖資訊。

    image.png

    說明

    如果出現Error 404,表示您的Jetty伺服器沒有Web應用,並非Jetty伺服器未啟動成功。如仍有問題,請參考常見問題進行排查。

    應用於生產環境

    在生產環境部署時,遵循以下最佳實務可提升安全性、穩定性和可維護性:

    • 使用非管理員權限使用者運行

      為應用建立專用的、低許可權的系統使用者,切勿使用擁有管理員權限的賬戶運行應用。

      說明

      建議使用網關層配置 SSL的方案,即將認證部署在Server Load Balancer或Nginx等反向 Proxy上,由其終結 HTTPS 流量,再將解密後的 HTTP 流量轉寄到後端應用。

    • 憑證外部化管理

      切勿將密碼等敏感資訊寫入程式碼在代碼或設定檔中。使用環境變數、Vault 或雲端服務商提供的Key Management Service來注入憑證。

    • 啟用 HTTP 到 HTTPS 強制跳轉

      確保所有通過 HTTP 訪問的流量都被自動重新導向到 HTTPS,防止中間人攻擊。

    • 配置現代 TLS 協議

      在伺服器配置中禁用老舊且不安全的協議(如 SSLv3, TLSv1.0, TLSv1.1),僅啟用 TLSv1.2 和 TLSv1.3。

    • 認證監控與自動續期

      建議在認證部署完成後,為網域名稱開啟網域名稱監控功能。阿里雲將自動檢測認證有效期間,並在認證到期前發送提醒,協助您及時續期,避免服務中斷。具體操作請參見購買並開啟公網網域名稱監控

    常見問題

    安裝或更新認證後,認證未生效或 HTTPS 無法訪問

    常見原因如下:

    • 伺服器安全性群組或防火牆未開放 443 連接埠。請參見配置系統與網路環境

    • 認證的綁定網域名稱未包含當前訪問的網域名稱。請參見網域名稱匹配

    • 修改 Jetty 設定檔後,未重啟Jetty服務。具體操作可參見重新啟動Jetty服務

    • 認證檔案未正確替換,或 Jetty 配置未正確指定憑證路徑。請檢查 Jetty 設定檔和所用認證檔案是否為最新且有效。

    • 網域名稱已接入 CDN、SLB 或 WAF 等雲產品,但未在相應產品中安裝認證。請參閱流量經過多個雲產品時認證的部署位置完成相關操作。

    • 當前網域名稱的 DNS 解析指向多台伺服器,但認證僅在部分伺服器上安裝。需分別在每個伺服器中安裝認證。

    如何更新(替換)Jetty 中已安裝的 SSL 憑證

    請先備份伺服器上原有的認證檔案(.jks,以及.txt檔案),然後登入數位憑證管理服務控制台,下載新的認證檔案,並上傳到目標伺服器覆蓋原有檔案(確保路徑和檔案名稱一致)。最後,重啟Jetty服務,使新認證生效。

    啟動時報錯:“Address already in use”或“連接埠已被佔用”?

    這表示 443 連接埠已被其他程式監聽。使用 sudo ss -tlnp | grep :443sudo lsof -i:443 命令尋找佔用連接埠的進程,並將其停止。常見的佔用程式有 Nginx、Apache 或之前未正常關閉的測試命令。

    啟動時報錯:“Permission denied”?

    在 Linux 系統中,綁定 1024 以下的連接埠需要 root 許可權。確認已使用 sudo 來啟動 Jetty。在生產環境中,不推薦直接使用 root 使用者運行服務,更安全的做法是使用 setcap 授予 Java 程式綁定低位連接埠的許可權(例如:sudo setcap 'cap_net_bind_service=+ep' /path/to/your/java),或將 Jetty 置於反向 Proxy(如 Nginx)之後。