Tomcat 七 HTTP 连接器

摘要

本文尝试翻译Tomcat官方文档Apache Tomcat 7连接器,不足之处敬请指正。该文先介绍了Tomcat7 HTTP连接器的属性,包括:公共属性、标准实现、Java TCP套接字属性、BIO的具体配置、NIO的具体配置、APR/Native的具体配置。接着介绍了Tomcat的特殊功能,包括:HTTP/1.1和HTTP/1.0的支持、代理支持、SSL支持以及连接器的比较。

1 介绍

HTTP 连接器元素代表了支持HTTP/1.1协议的连接器组件,使Catalina成为一个能够执行servlet和JSP页面的独立的Web服务器。一个HTTP 连接器组件的实例监听服务器上一个特定的TCP端口号上的连接。一个或多个这样的连接器可以配置成一个单一Service的一部分,每个转发到相关联的Engine 处理请求,并创建响应。

如果你要配置的连接器,用于连接到Web服务器使用的的AJP协议(如 mod_jk的1.2.x的连接器适用于Apache 1.3),请参阅 AJPConnector文档。

每个进入的请求需要一个线程处理。如果接收到比当前可用的请求处理线程可以处理更多的并发请求,将创建额外的线程直到达到所配置的最大线程数(maxThreads值)。如果有超过处理能力的更多的请求到来,它们将被堆积在连接器创建的服务器套接字内,直到达到配置中acceptCount 的最大值。任何更多的同步请求将收到“连接被拒绝”的错误,直到有空闲线程来处理它们。

2 属性

2.1 公共属性

所有的连接器实现 支持以下属性:

 

属性

描述

allowTrace

一个布尔值,它可以用来启用或禁用跟踪HTTP方法。如果没有指定,该属性设置为false。

asyncTimeout

默认超时时间以毫秒为单位的异步请求。如果没有指定,该属性被设置为10000(10秒)。

enableLookups

如果你想request.getRemoteHost()的调用 执行,以便返回的远程客户端的实际主机名的DNS查询,则设置为true。设置为false时跳过DNS查找,并返回字符串形式的IP地址(从而提高性能)。默认情况下,禁用DNS查找。

maxHeaderCount

容器允许的请求头字段的最大数目。请求中包含比指定的限制更多的头字段将被拒绝。值小于0表示没有限制。如果没有指定,默认设置为100。

maxParameterCount

将被容器自动解析的最大数量的参数和值对(GET加上POST)。参数值对超出此限制将被忽略。值小于0表示没有限制。如果没有指定,默认为10000。请注意, FailedRequestFilter 过滤器可以用来拒绝达到了极限值的请求。

maxPostSize

将被容器以FORM URL参数形式处理的最大长度(以字节为单位)的POST。通过设置此属性的值小于或等于0可以禁用该限制。如果没有指定,该属性被设置为2097152(2兆字节)。

maxSavePostSize

将被容器在FORM或CLIENT-CERT认证中保存/缓冲的POST的最大尺寸(以字节为单位)。对于这两种类型的身份验证,在用户身份验证之 前,POST将被保存/缓冲。对于POST CLIENT-CERT认证,处理该请求的SSL握手和缓冲清空期间,POST将被缓存。对于Form认证,POST将被保存,同时用户将被重定向到登陆 表单。POST将被一直保留直到用户成功认证或者认证请求关联的会话超时。将此属性设置为-1可以禁用此限制。将此属性设置为0,POST数据在身份验证 过程中将不被保存。如果没有指定,该属性设置为4096(4千字节)。

parseBodyMethods

以逗号分隔的HTTP方法列表,通过方法列表,等同于POST方法,request 正文将被解析成请求参数。这在RESTful应用程序要支持以POST式的语义解析PUT请求中是非常有用的。需要注意的是设置其他值(不是POST)会导致Tomcat的行为违反servlet规范的目的。在这里为了符合HTTP规范明确禁止HTTP方法TRACE。默认值是POST

port

TCP端口号,连接器利用该端口号将创建一个服务器套接字,并等待传入的连接。你的操作系统将只允许一个服务器应用程序在一个特定的IP地址侦听特定的端口号。如果使用特殊值0(零),则Tomcat将为连接器随机选择一个空闲的端口。这是通常只用在嵌入式和测试应用程序。

protocol

设置协议来处理传入流量。默认值是 HTTP/1.1,将使用自动切换机制来选择阻塞的基于Java的连接器或APR /native 为基础的连接器。如果PATH(Windows)或LD_LIBRARY_PATH(在大多数Unix系统)的环境变量包含在Tomcat的本地库里,APR /native 连接器将被使用。如果在本地库中无法找到,阻断基于Java的连接器将被使用。需要注意的是使用HTTPS比Java连接器与APR /native 连接器有不同的设置。一个明确的协议,而不是依靠上述自动切换机构,可用以下值:

org.apache.coyote.http11.Http11Protocol -阻塞式的Java连接器org.apache.coyote.http11.Http11NioProtocol -不阻塞Java连接器org.apache.coyote.http11.Http11AprProtocol的 -的APR / native 连接器

 也可以使用的用户自定义的实现。看一看在我们的连接器比较图。Java连接器,HTTP和HTTPS,配置是相同的。 APR连接器和APR特定的SSL设置的更多信息,请访问APR文档

proxyName

如果这个连接正在使用的代理服务器配置,配置该属性指定的服务器的名称,可以调用request.getServerName()返回。有关更多信息,请参见代理支持。

proxyPort

如果这个连接正在使用的代理服务器配置,配置该属性指定服务器端口,可以调用request.getServerPort()返回。有关更多信息,请参见代理支持。

redirectPort

如果该连接器支持非SSL请求,并且接收到的请求为满足安全约束需要SSL传输, Catalina 将自动将请求重定向到指定的端口号。

scheme

将该属性设置为你想调用request.getScheme()返回的协议的名称。例如,对于SSL连接器,你会将此属性设置为“HTTPS ”。默认值是“ HTTP ”。

secure

如果你想调用request.isSecure()收到此连接器的请求返回true,请该该属性设置为true。您希望SSL连接器或非SSL连接器接收数据通过一个SSL加速器,像加密卡,SSL设备,甚至一个web服务器。默认值是假的

URIEncoding

这将指定使用的字符编码​​,来解码URI字符。如果没有指定,ISO-8859-1将被使用。

useBodyEncodingForURI

这指定是否应该用于URI查询参数,而不是使用URIEncoding contentType中指定的编码。此设置兼容性Tomcat 4.1.x版(该版在contentType中指定编码,或者使用request.setCharacterEncoding的方法显式设置(参数为 URL传来的值)。默认值false。

useIPVHosts

将该属性设置为true会导致Tomcat使用收到请求的IP地址,来确定将请求发送到哪个主机。默认值是假的

xpoweredBy

将此属性设置为true会导致Tomcat支持使用Servlet规范的通知,(在规范中推荐使用头字段)。默认值是假的

2.2 标准实现

除了上面列出的常见的连接器属性,标准的HTTP连接器(BIO,NIO和APR/native)都支持以下属性。 

属性

描述

acceptCount

当所有可能的请求处理线程都在使用时,传入连接请求的最大队列长度。当队列满时收到的任何请求将被拒绝。默认值是100。

acceptorThreadCount

用于接受连接的线程的数量。在一个多CPU的机器上,增加该值,虽然你可能不会真正需要超过2个。此外,有很多非保持活动连接,您可能需要增加这个值。默认值是 1。

acceptorThreadPriority

接收器线程的优先级。该线程用来接受新的连接。默认值是5(java.lang.Thread.NORM_PRIORITY常量)。更多这个优先级是什么意思的详细信息,请查看java.lang.Thread的类的JavaDoc 。

address 

对于拥有多个IP地址的服务器,该属性指定哪个地址将被用于在指定端口上监听。默认情况下,该端口将被用于与服务器相关联的所有IP地址。

bindOnInit

控制连接器绑定时套接字的使用。缺省情况,当连接器被启动时套接字被绑定和当连接器被销毁时套接字解除绑定。如果设置为false,连接器启动时套接字被绑定,连接器停止时套接字解除绑定。

compressableMimeType

该值是一个被用于HTTP压缩的逗号分隔的MIME类型列表。默认值是text / html类型,为text / xml,text / plain。

compression 

为了节省服务器带宽,连接器可以使用HTTP/1.1 GZIP压缩。可接受的参数的值是“off ”(禁用压缩),“on ”(允许压缩,这会导致文本数据被压缩),“force ”(强制在所有的情况下压缩),或者一个整数值(这是相当于为“on”,但指定了输出之前被压缩的数据最小量)。如果不知道内容长度但被设置为“on”或更积极的压缩,输出的数据也将被压缩。如果没有指定,该属性被设置为“关”。

注意:这是使用压缩(节省您的带宽)和使用sendfile功能(节省你的CPU周期)之间的权衡。如果连接器支持sendfile功能,例如NIO连接,则使用sendfile将优先于压缩。症状是48 KB的静态文件将未压缩就发送。你可以如下文所述通过设置连接器的useSendfile属性来关闭sendfile,或在默认的conf/web.xml或者你的web应用的web.xml中配置DefaultServlet来改变sendfile的使用量阈值。

compressionMinSize

如果压缩被设置为“on”,那么该属性可以用于指定在输出之前被压缩的数据的最小量。如果未指定,此属性默认为“2048”。

connectionLinger

连接器的套接字被关闭时的逗留秒数。如果没有指定,将使用默认的JVM。

connectionTimeout 

在将提交的请求URI行呈现之后,连接器将等待接受连接的毫秒数。使用值-1表示没有超时(即无限)。默认值是60000(60秒),但请注意,Tomcat的标准server.xml中,设置为20000(即20秒)。

connectionUploadTimeout

上传数据过程中,指定的以毫秒为单位超时时间。只有在设置disableUploadTimeout为false有效。

disableUploadTimeout

此标志允许servlet容器在数据上传时使用不同的连接超时,通常较长。如果没有指定,该属性被设置为true,禁用上传超时。

executor 

指向Executor元素的引用。如果这个属性被设置,并且被命名的executor存在,连接器将使用这个executor,而其他所有线程相关属性将被忽略。请注意共享的executor如果没有指定到一个连接器,则该连接器将使用一个私有的,内部的executor来提供线程池。

KeepAliveTimeout

此连接器在关闭连接之前将等待另一个HTTP请求的毫秒数。默认值是使用已设置的connectionTimeout属性的值。使用值-1表示没有超时(即无限)。

maxConnections

在任何给定的时间服务器接受并处理的最大连接数。当这个数字已经达到了,服务器将不会接受任何连接,直到连接的数量降到低于此值。基于acceptCount的设置,操作系统可能仍然接受连接。默认值根据不同的连接器类型而不同。对于BIO,默认的是maxThreads的值,除非使用了Executor,在这种情况下默认值是executor的maxThreads值 。对于NIO的默认值是10000。APR /native的默认值是8192。

需要注意的是Windows系统的APR/native,所配置的值将减少到小于或等于maxConnections的1024的倍数的最大值。这样做是出于性能方面的考虑。

如果设置的值-1,maxConnections功能被禁用,而且连接数将不做计算。

maxHttpHeaderSize

请求和响应的HTTP头的(以字节为单位的)最大尺寸。如果没有指定,该属性被设置为8192(8 KB)。

maxKeepAliveRequests

HTTP请求最大长连接个数。将此属性设置为1,将禁用HTTP/1.0、以及HTTP/1.1的长连接。设置为-1,不禁用。如果没有指定,该属性被设置为100。

maxThreads 

最多同时处理的连接数,Tomcat使用线程来处理接收的每个请求。这个值表示Tomcat可创建的最大的线程数。如果没有指定,该属性被设置为200。如果使用了execute将忽略此连接器的该属性,连接器将使用execute,而不是一个内部线程池来处理请求。

maxTrailerSize

限制一个分块的HTTP请求中的最后一个块的尾随标头的总长度。如果该值是-1,没有限制的被强加。如果没有指定,默认值是8192。

minSpareThreads

始终保持运行最小线程数。如果没有指定,则默认为10。

noCompressionUserAgents

该值是一个正则表达式(使用java.util.regex),匹配不应该使用压缩的HTTP客户端的用户代理标头。因为这些客户端,虽然他们宣称支持压缩功能,但实现不完整。默认值是一个空字符串(正则表达式匹配禁用)。

processorCache

协议处理器缓存Processor对象以提高性能。此设置规定了这些对象有多少能得到缓存。-1意味着无限制,默认为200。如果不使用Servlet 3.0的异步处理,一个好的默认是使用maxThreads设置。如果使用Servlet 3.0的异步处理,一个好的默认是使用maxThreads和最大预期的并发请求(同步和异步)的最大值中的较大值。

restrictedUserAgents

该值是一个正则表达式(使用java.util.regex),匹配用户代理头的HTTP浏览器将不能使用HTTP/1.1或HTTP/1.0长连接,即使该浏览器宣称支持这些功能的。默认值是一个空字符串(正则表达式匹配禁用)。

server 

覆盖服务器的HTTP响应头。如果设置了这个属性的值将覆盖Web应用程序设置的Tomcat的默认头和任何服务器头。如果没有设置,应用程序指定的任何值将被使用。如果应用程序没有指定一个值,那么Apache-Coyote/1.1将被使用。除非你是偏执狂,你将不再需要此功能。

socketBuffer

为套接字输出缓冲而提供的缓冲区的大小(以字节为单位)。-1可以被指定来禁止使用的缓冲区。默认情况下,一个9000个字节的缓冲区将被使用。

SSLEnabled 

在连接器上使用此属性来启用SSL加密传输。如果要打开SSL握手/加密/解密,请设置true。默认值是false。当设置这个值为true时,为了传递正确的request.getScheme()和 request.isSecure()到servlets,你需要设置scheme和secure属性。更多信息请查看SSL支持。

tcpNoDelay 

如果设置为true,TCP_NO_DELAY选项将被设置在服务器上的套接字上,在大多数情况下,这样可以提高性能。默认设置为true。

threadPriority 

在JVM中请求处理线程的优先级。默认值是5(java.lang.Thread.NORM_PRIORITY常量值)。关于优先级的更多详细信息,请查看java.lang.Thread的类的JavaDoc 。

2.3 Java TCP套接字的属性

除了上文列出的通用的连接器和HTTP属性,BIO和NIO实现还支持下面的JavaTCP套接字属性。

属性

描述

socket.rxBufSize

(int)套接字接收缓冲区(SO_RCVBUF)大小(以字节为单位)。如果没有设置,JVM默认值将被使用。

socket.txBufSize

(int)套接字发送缓冲区(SO_SNDBUF)大小(以字节为单位)。如果没有设置,JVM默认值将被使用。

socket.tcpNoDelay

(bool)相当于到标准属性 tcpNoDelay。

socket.soKeepAlive

(bool)套接字的长连接(SO_KEEPALIVE)设置。如果没有设置,JVM默认值将被使用。

socket.ooBInline

(bool)套接字的OOBINLINE设置。如果没有设置,JVM默认值将被使用。

socket.soReuseAddress

(bool)套接字复用地址选项(SO_REUSEADDR)。如果没有设置,JVM默认值将被使用。

socket.soLingerOn

(bool)套接字的延迟关闭选项(SO_LINGER)。标准属性connectionLinger值> = 0 的时候,相当于将此项设置为true。标准属性connectionLinger值<0 的时候,相当于将此项设置为false。此属性和soLingerTime都必须被设置,否则JVM的预设值将被使用。

socket.soLingerTime

(int)套接字延时关闭选项(SO_LINGER)秒数。这相当于标准属性connectionLinger。此属性和soLingerOn都必须被设置,否则JVM的预设值将被使用。

socket.soTimeout

相当于标准属性 的connectionTimeout。

socket.performanceConnectionTime

(int)性能设置的第一个值。 所有这三个性能属性必须设置否则所有三个属性的JVM预设值将被使用,可查看套接字性能选项。

socket.performanceLatency

(int)性能设置的第二个值。 所有这三个性能属性必须设置否则所有三个属性的JVM预设值将被使用,可查看套接字性能选项。

socket.performanceBandwidth

(int)性能设置的第三个值。 所有这三个性能属性必须设置否则所有三个属性的JVM预设值将被使用,可查看套接字性能选项。

socket.unlockTimeout

(int)套接字解锁的超时时间。当一个连接器停止时,它会通过打开一个连接到本身的连接器来尝试释放acceptor 线程。默认值是250(以毫秒为单位)

2.4 BIO的具体配置

下面是BIO连接器的特定属性。

属性

描述

disableKeepAlivePercentage

为提高可扩展性,在长连接失效之前被使用的处理线程的百分比。小于0的值将被设为0,大于100的值将被设为100。如果没有指定,默认值是75。

 

 

 

 

2.5 NIO的具体配置

下面是NIO连接器的特定属性。

属性

描述

pollerThreadCount

(int)用来处理轮询事件的线程的数量。在版本7.0.27及以前版本,默认值是每个处理器1个。版本7.0.28的默认值是每个处理器1个,但不超过2个。

当接受一个套接字,操作系统拥有全局的锁。所以超过2个线程的好处而迅速减小。有一个以上的线程是因为系统需要非常迅速地接受连接。但通常只要增加acceptCount值就可以解决这个问题。增加该值也可能是有用的,当大量发送文件操作发生的时候。

pollerThreadPriority

(int)轮询线程的优先级。默认值是5(java.lang.Thread.NORM_PRIORITY常量值)。优先级的更多详细信息,可以查考java.lang.Thread类的JavaDoc 。

selectorTimeout

(int)选择轮询器select()的超时时间(以毫秒为单位)。这个值非常重要,因为连接清理工作也是在同一个线程里的,所以不要将此值设置为一个非常高的。默认值是1000毫秒。

useComet

(bool)是否允许Comet servlet。默认值是 true。

useSendfile

(bool)使用此属性来启用或禁用sendfile的能力。默认值是true。

socket.directBuffer

(bool)选择使​​用直接ByteBuffers或Java映射的ByteBuffers。默认是false。
当您使用直接ByteBuffers,请确保你分配适当的内存量给直接内存空间。在Sun的JDK中,配置如-XX:MaxDirectMemorySize = 256M。

socket.appReadBufSize

(int)在Tomcat中每个连接的开辟连接一个读ByteBuffer。此属性控制这个缓冲区的大小。默认情况下,这个读缓冲区大小为8192字节。对于较低的并发,你可以增加这个值以缓冲更多的数据。对于长连接数很多的情况,你需要降低这个数值或者增加堆大小。

socket.appWriteBufSize

(int)在Tomcat中每个连接的开辟连接一个写ByteBuffer。此属性控制这个缓冲区的大小。默认情况下,这个写缓冲区大小为8192字节。对于较低的并发,你可以增加这个值以缓冲更多的响应数据。对于长连接数很多的情况,你需要降低这个数值或者增加堆大小。
这里的默认值是相当低的,如果面对的不是几万并发连接,你应该增大该值。

socket.bufferPool

(int)NIO连接器使用NioChannel这个类来持有链接到一个套接字的元素。为了减少垃圾收集,NIO连接器缓存这些通道的对象。此值指定这个缓存的大小。默认值是500,表示缓存将持有500个 NioChannel的对象。-1表示不限制缓存大小,0表示不缓存。

socket.bufferPoolSize

(int)NioChannel池,也可以是基于尺寸大小,而不是基于对象数的。该大小的计算如下:
NioChannel的缓冲区大小=读取缓冲区大小+写入缓冲区大小
SecureNioChannel的缓冲区大小=应用程序读取缓冲区大小+应用程序写入缓冲区的大小+网络读取缓冲区大小+网络写入缓冲区的大小

值(以字节为单位),默认值1024 * 1024 * 100 (100MB)。

socket.processorCache

(int)以减少垃圾收集,Tomcat缓存SocketProcessor对象。该值指定保持在缓存中最多有多少个对象。默认值是500。-1表示不限制缓存大小,0表示不缓存。

socket.keyCache

(int)以减少垃圾收集,Tomcat缓存KeyAttachment对象。该值指定保持在缓存中最多有多少个对象。默认值是500。-1表示不限制缓存大小,0表示不缓存。

socket.eventCache

(int)以减少垃圾收集,Tomcat缓存PollerEvent对象。该值指定保持在缓存中最多有多少个对象。默认值是500。-1表示不限制缓存大小,0表示不缓存。

selectorPool.maxSelectors

(int)以减少选择器的争用,在池中使用的选择器最大个数。命令行org.apache.tomcat.util.net.NioSelectorShared值设置为false时,使用此选项。默认值是200。

selectorPool.maxSpareSelectors

(int)以减少选择器的争用,在池中使用的最大备用选择器个数。当选择器返回到池中时,系统可以决定保留它或者让他垃圾回收。当org.apache.tomcat.util.net.NioSelectorShared 值设置为false时,使用此选项。默认值是-1(无限制)。

命令行选项

下面的命令行选项可用于NIO连接器:-Dorg.apache.tomcat.util.net.NioSelectorShared=true|false

 默认情况下是true。如果你想每个线程使用一个选择器,将此值设置为false。当你将它设置为false,你可以通过使用selectorPool.maxSelectors属性控制选择器池的大小。

oomParachute

(int)NIO连接器实现了一个名叫parachute的OutOfMemoryError错误的策略。它拥有一个块的数据作为一个字节数组。在一个OOM的情况下,这个数据块被释放,并报告错误。这会给VM足够的空间来清理。oomParachute代表parachute(字节数组)的大小(以字节为单位)。默认值是 1024 * 1024(1MB)。请注意,这仅适用于关于Java堆空间的OOM错误,也不是绝对保证,你将能够恢复所有。如果你有一个Java堆之外OOM的,那么这个parachute也无济于事。

2.6 APR /Native 的具体配置

下面是APR/Native 连接器的特定属性。

属性

描述

deferAccept

在连接器的监听套接字上设置TCP_DEFER_ACCEPT标志。当操作系统支持TCP_DEFER_ACCEPT时默认值是true,否则它是false。

pollerSize

在一个给定的时间内,负责长连接轮询的轮询器能够持有的线程数。额外的连接将被马上关闭。默认值是8192,与8192个长连接数一致。是maxConnections的一个代名词。

pollerThreadCount

用于轮询长连接的线程数。Windows系统默认选择,每个线程管理的套接字数小于1024。对于Linux的默认值是1。更改Windows下的默认值可能有负面的性能影响。

pollTime

轮询调用持续的时间(以微秒为单位)。在某些情况下,降低该值将略微减少潜在的连接数,但随着增加的轮询调用会使用更多的CPU。默认值是2000(毫秒)。

sendfileSize

在给定时间内,负责异步发送静态文件的轮询器可以持有的套接字数。额外的连接将被马上关闭,没有任何数据被发送(在客户 端产生一个长度为零的文件)。请注意,在大多数情况下,的sendfile是一个立刻返回的调用(被内核照顾的“同步”),而且sendfile轮询器将 不会被使用,所以可以同时发送的静态文件的数量大于指定的值。默认值是1024。

sendfileThreadCount

服务于sendfile套接字的线程数。由于Windows系统默认选择,每个线程管理的套接字小于1024。Linux系统的默认值是1。更改Windows系统下的默认值可能有负面的性能影响。

threadPriority

(int)接收器和轮询器线程的优先级。默认值是5(java.lang.Thread.NORM_PRIORITY常量值)。优先级的详细信息请查看java.lang.Thread类的JavaDoc 。

useComet

(bool)允许或禁止Comet servlet。默认值是 true。

useSendfile

(bool)使用此属性来启用或禁用sendfile的能力。默认值是true。

3 嵌套组件

这个时候没有。

4 特殊功能

4.1 HTTP/1.1和HTTP/1.0的支持

该连接器支持在RFC 2616中描述的HTTP/1.1协议的所有必需功能,包括持久连接,管道,预期和分块编码所需的功能。如果客户端(通常是浏览器)只支持HTTP/1.0, 连接器将优雅地向下兼容以支持该协议。启用这种支持,没有特殊的配置要求。该连接器还支持HTTP/1.0长连接。

RFC 2616规定,HTTP服务器总是在它们响应的开头加上它们宣称支持的最高的HTTP版本。因此,此 连接器将总是在其响应开头返回HTTP/1.1

4.2 代理支持

当Tomcat部署在代理服务器的后面的时候,proxyName和proxyPort属性可以被使用。这些属性修改 web服务器调用的request.getServerName()和request.getServerPort() 方法的值,这是经常被用来构造重 定向de 绝对路径的URL。如果不配置这些属性,返回的值将反映代理服务器接收连接的服务器名称和端口,而不是客户端定向原始请求的服务器名称和端口。

有关详细信息,请参阅 如何使用代理服务器支持。

4.3 SSL支持

通过设置启用SSL属性为true,您可以启用SSL支持此连接器的特定实例 。

你还需要设置scheme 和secure  属性的值分别为https和true,传递正确的信息到servlet。

BIO与NIO连接器使用JSSE的SSL,而APR / native连接器使用OpenSSL。因此,除了使用不同的属性来配置SSL的APR / native连接器外,还需要以不同的格式提供密钥和证书。

有关详细信息,请参阅文档SSL怎么配置。

4.3.1 SSL支持-BIO与NIO

BIO与NIO连接器使用下面的属性来配置SSL:

属性

描述

algorithm

使用的证书编码算法。默认 KeyManagerFactory.getDefaultAlgorithm()返回 Sun JVM的SunX509。IBM的JVM返回 IbmX509。对于其他厂商,请参阅JVM文档的默认值。

allowUnsafeLegacyRenegotiation

允许不安全的传统的TLS重新协商,它有可能允许暴露用户给CVE-2009-3555(处理会话重协商过程中TLS实现存在错误,允许通过中间人攻击,注入任意明文到已存在的TLS会话中。)的情况发生。如果没有指定,默认设置为false。此属性只对不支持RFC 5746(表明伪密码套件TLS_EMPTY_RENEGOTIATION_INFO_SCSV的存在)的JVM有用。JRE / JDK 6update 22起,这是可用的。支持RFC 5746的重新谈判-包括支持不安全的传统重新谈判-是由JVM配置控制的。

ciphers

逗号分隔的这个套接字被允许使用的加密算法列表。默认情况下,在JVM的默认密码将被使用。请注意,这通常意味着,弱输出等级的密码将被包含在列表的可用密码中。密码被指定使用JSSE密码的命名约定。特殊值ALL ,将启用所有支持的密码。这将包括许多不安全。ALL仅用于测试目的。

clientAuth

如果在接受连接之前,你想让从客户端来的SSL协议栈需要一个有效的证书链则设置为true。如果你想让SSL协议栈需要一个客户端证书,设置为want,但如果没有提供将不会失败。设置为false值(这是默认的)将不需要证书链,除非客户端请求采用CLIENT-CERT认证的安全约束保护的资源。

clientCertProvider

当客户端证书信息的以表单形式而不是java.security.cert.X509Certificate实例形式提供时,需要转换之后才可以使用,此属性控制哪个JSSE提供者来执行转换。例如,它是关联AJP连接器,HTTP APR 连接器和 org.apache.catalina.valves.SSLValve。如果没有指定,默认的provider 将被使用。

crlFile

用来验证客户端证书的证书吊销列表。如果没有定义,将不核对证书吊销列表来检查客户端证书。

keyAlias

用于做key库中的服务器证书的别名。如果没有指定将使用在key库中读取的第一个key。

keypass

该密码用于访问指定的keystore文件的服务器证书。默认值是“changeit”。

keystoreFile

要加载的服务器证书存放的keystore文件的路径名。默认情况下,该文件的路径名是“ .keystore”,在操作系统中运行Tomcat的用户的home 目录。如果您的keystoreType不需要文件则可以将keystoreFile设置为“”(空字符串)。

keystorePass

该密码用于访问指定的keystore文件。默认值是keypass的属性值。

keystoreProvider

被用于服务器证书的keystore 提供者的名称。如果未指定,将选择按优先顺序注册过的提供者列表的第一个支持keystoreType的提供者。

keystoreType

用于服务器证书的keystore文件的类型。如果没有指定,默认值是“JKS”。

sessionCacheSize

保持在session缓存中的SSL会话的数量。使用0到指定一个无大小限制的缓存。如果没有指定,默认值为0。

sessionTimeout

在创建一个SSL会话后它将超时的时间(以秒为单位)。使用0指定无限制超时。如果没有指定,默认为86400(24小时)。

sslEnabledProtocols

使用的SSL协议的列表。如果未指定,则使用JVM的默认设置。

sslImplementationName

使用的SSL实现的类名。如果未指定, 将使用默认的org.apache.tomcat.util.net.jsse.JSSEImplementation,它封装了JVM的默认JSSE提供者。需要注意的是,JVM可以被配置为使用不同的JSSE提供者作为默认值。

sslProtocol

使用的SSL协议版本。如果没有指定,默认是“ TLS”。

trustManagerClassName

一个用来验证客户端证书的自定义信任管理类的名称。这个类必须有一个无参数的构造而且必须实现javax.net.ssl.X509TrustManager。如果设置了这个属性,trust store相关属性将被忽略。

trustMaxCertLength

验证客户端证书时,允许的中间证书的最大数量。如果没有指定,默认值5将被使用。

truststoreAlgorithm

该算法用于truststore。如果没有指定,将使用由javax.net.ssl.TrustManagerFactory.getDefaultAlgorithm()返回 的默认值。

truststoreFile

用来验证客户端证书的trust store文件。默认值是javax.net.ssl.trustStore系统属性。如果既没有此属性又没有默认的系统属性设置,则不配置trust store。

truststorePass

访问trust store的密码。默认值是javax.net.ssl.trustStorePassword系统属性。如果该属性是空的,没有trust store密码将被配置。如果指定了一个无效的trust store密码,将会记录警告,并试图没有密码访问trust store,这将跳过验证trust store的内容。

truststoreProvider

用于服务器证书的truststore提供者的名称。默认值是javax.net.ssl.trustStoreProvider系统属性。如果该属性为空,将使用keystoreProvider作为默认值。如果既没有这个属性,也没有默认的keystoreProvider系统属性,按优先顺序遍历已注册提供者列表,选择使用支持 truststoreType的第一个提供者。

truststoreType

用于trust store的key store的类型。默认值是javax.net.ssl.trustStoreType系统属性。如果该属性为空,则keystoreType作为默认值。

4.3.2 SSL支持 - APR /Native

APR / Native启用时,HTTPS连接器将使用一个套接字来轮询长连接,以提高服务器的可扩展性。它还使用OpenSSL,这可能比JSSE更优化(取决于所使用的处理器),并且可以补充许多商业加速器组件。不同于HTTP连接器,HTTPS连接器不能使用的sendfile优化静态文件的处理。

HTTPS APR / Native连接器具有HTTP APR / Native连接器相同的属性,并且增加了OpenSSL的特殊属性。使用OpenSSL的所有详细资料,请参阅OpenSSL资料和许多可用的书籍(请参阅官方OpenSSL的网站)。SSL特有的APR /Native连接器的属性:

属性

描述

SSLCACertificateFile

查看mod_ssl的文档。

SSLCACertificatePath

查看mod_ssl的文档。

SSLCARevocationFile

查看mod_ssl的文档。

SSLCARevocationPath

查看mod_ssl的文档。

SSLCertificateChainFile

查看mod_ssl的文档。

SSLCACertificateFile

包含受信任的证书颁发机构的拼接的证书文件的名称。是PEM编码的格式。

SSLCACertificatePath

包含的受信任的证书颁发机构的证书目录名称。是PEM编码的格式。

SSLCARevocationFile

包含证书颁发机构的拼接的证书吊销列表文件的名称。是PEM编码的格式。

SSLCARevocationPath

包含的证书颁发机构的拼接的证书撤销列表的目录的名称。是PEM编码的格式。

SSLCertificateChainFile

包含连接的certifcates形成的资格证书链的服务器证书的证书颁发机构的的文件的名称。是PEM编码的格式。

SSLCertificateFile

包含服务器证书的文件的名称。是PEM编码的格式。

SSLCertificateKeyFile

包含服务器私钥的文件名称。是PEM编码的格式。默认值是SSLCertificateFile的值,在这种情况下,证书和私钥都必须在这个文件中(不推荐)。

SSLCipherSuite

可用于与客户端进行通信的密码。默认值是“ALL”,其他可接受的值是以“:”分隔的一组密码,(请参阅OpenSSL的文档列表中支持的密码)。

SSLHonorCipherOrder

设置为true(这是默认值)将强制服务器的密码规则(按照SSLCipherSuite设置),而不允许客户端选择密码。

SSLPassword

用于私有密钥加密的口令短语。如果没有提供“SSLPassword”时,回调函数将提示输入口令短语。

SSLProtocol

可被用来与客户端通信的协议。默认值是all,这是等同的SSLv3 +的TLSv1,其他可接受的值是 SSLv2, SSLv3,TLSv1以及用加号连接起来的三个协议的任意组合。请注意,SSLv2协议 本质上是不安全的。

SSLVerifyClient

向客户端要求证书。默认值是“none”,这意味着客户端将不会有机会提交证书。其他可接受的值包括“optional”,“require”和“optionalNoCA”。

SSLVerifyDepth

客户端证书的最大验证深度。默认值是“10”。

4.4连接器的比较

下面是一个小的图表,显示了连接器如何区分。

Java Blocking Connector  BIO

Java Non Blocking Connector  NIO

APR/native Connector   APR

Classname

Http11Protocol

Http11NioProtocol

Http11AprProtocol

Tomcat Version

3.x onwards

6.x onwards

5.5.x onwards

Support Pollin

NO

YES

YES

Polling Size

N/A

maxConnections

maxConnections

Read HTTP Request

Blocking

Non Blocking

Blocking

Read HTTP Body

Blocking

Sim Blocking

Blocking

Write HTTP Response

Blocking

Sim Blocking

Blocking

Wait for next Request

Blocking

Non Blocking

Non Blocking

SSL Support

Java SSL

Java SSL

OpenSSL

SSL Handshake

Blocking

Non blocking

Blocking

Max Connections

maxConnections

maxConnections

maxConnections

 

posted @   华行天下  阅读(441)  评论(0编辑  收藏  举报
点击右上角即可分享
微信分享提示