IOS 7.1版本中,若使用WEB的安装方式,只能使用HTTPS来通讯,因此需要在应用服务器上部署SSL证书。
SSL证书获取
请用户向CA厂商获取证书。
获取证书后,按照以下的说明进行证书部署。
J2EE应用服务器上安装SSL证书
由于tomcat使用ssl配置https时,爆发出了严重安全漏洞,按照apache官方建议,升级tomcat到7.0.85及以后版本,修复安全漏洞。
查看tomcat版本方法:执行<tomcat>/bin/version.sh或version.bat
Tomcat下载地址:Tomcat官网
升级Tomcat详情请参见 升级Tomcat。
附录1:TOMCAT服务器证书部署
- 进入服务器安装目录的conf 子目录,编辑 server.xml文件
修改里面的SSL设置,改法如下:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="xx/xx/xx.keystore" keystorePass="xxxx"/>需要注意修改的就是端口号和证书路径,证书密码。
说明:注意防火墙是否禁用端口。
阿里云证书配置tomcat https访问参考如下:
<Connector port="8443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" keystoreFile="/xxx/xxx/xxx.pfx" keystoreType="PKCS12" keystorePass="xxx" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>z注:注:如参考以上配置无法通过https访问,请参考以下修改配置。
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" keystoreFile="/xxx/xxx/xxx.pfx" keystoreType="PKCS12" keystorePass="xxx" ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
附录2:WEBSPHERE服务器证书部署
以WAS8.5举例说明
- 进入服务器管理页面, "安全性"——"SSL证书和密钥管理"
- 进入"管理端点安全配置"
3.选择对应的服务器或集群的入站设置
4.进入管理证书
5.填写证书存放的路径,导入证书,
注意选择证书别名,选择上面用OpenSSL工具生成的pfx文件,密码默认为:ServerPassword
6.导入后回到上层菜单选择导入的证书别名保存,并重启服务器。
附录3:WEBLOGIC 10/12c服务器证书部署
1、进入服务器管理页面, "环境"——"服务” —“AdminServer”
2、启动SSL端口。
3、进入"密钥库"页面,点击更改按钮,设为为“定制标识和Java标准信任“,设置“密钥库标识“和”密钥库信任“信息。
“密钥库标识“为pfx的路径。
“密钥库类型”为“PKCS12”
“密码”上面用OpenSSL工具生成的pfx文件密码默认为:ServerPassword
3、进入到”SSL“页面,设置“私有密钥别名“和”密码“
附录4:在J2EE服务器上发布APP.WAR
- 下载app.war,并用winrar软件打开
- 将新生成的RootCA.cer根证书,替换app.war中的原有证书
- 修改app.war/index.htm文件中的相关链接,确保它使用HTTPS并且IP或域名与上述生成证书时输入的IP或域名一致
- 修改app.war/Smartbi.plist文件中的相关链接,确保它使用HTTPS并且IP或域名与上述生成证书时输入的IP或域名一致
- 参考smartbi在各应用服务器上的部署方式将修改后的app.war发布到服务器
- iPad/iPhone中通过Safari访问IPA安装界面并点击该链接安装证书
- 点击IPA安装链接进行安装
IIS上安装SSL证书及发布ipa
1、打开IIS7,选择根节点,如下
2、接下来可以在右边找到操作栏,选择导入
3、选择上面用OpenSSL工具生成的pfx文件,密码默认为:ServerPassword
4、选择一个你要启用https的站点,注间是站点不是其中的某个虚拟目录,点击绑定
5、点击“添加”,选择“类型”和上面导入的ssl证书,并确定。
6、点击“MIME类型”,点击”添加”,添加新的MIME类型。
扩展名 MIME类型
.plist application/plist
.ipa application/octet-stream
.mobileprovision application/octet-stream
.ct application/x-x509-ca-cert
7、将OPENSSL中生成的RootCA.cer修改名称为RootCA.ct放到iis目录下
8、将ipa文件放到iis目录下
9、将ipa.rar中的文件放到iis目录下。
修改index.html和app_https.plist文件中的服务器地址
10、将根证书RootCA.cer发送到移动端,下载安装。(若移动端设置有锁屏密码,安装时需要输入锁屏密码)
部署完成后的问题诊断
- 在手机上无法访问到安装页面
请检查应用服务器和手机是否在同一个网络环境,并且对应端口没有被防火墙阻止。 - 安装证书后,点击页面上的链接,提示无法链接服务器
请确认根证书和app下载链接的的IP或域名是一致的,并且已经替换掉app.war/RootCer.cer。
升级Tomcat
升级Tomcat的方法如下:
1、停止服务
关闭smartbi的cmd窗口或在windows的服务中停止smartbi的服务。
2、修改现有的Tomcat目录
进入安装目录 ,把Tomcat改名为Tomcat_back
3、复制新的Tomcat
复制新版本Tomcat到安装目录
4、迁移smartbi配置
如下图所示,复制Tomcat_back/bin目录下的红色方框内文件到Tomcat/bin目录下
注意:windows版本安装包,可能还需要复制tcnative-1.dll替换原来自带的tcnative-1.dll。
如果使用的https加密协议,还需要把对应的证书文件复制到Tomcat/bin目录下。
5、迁移扩展包
如下图所示,复制Tomcat_back/bin/ext目录下的所有ext文件到Tomcat/bin/ext目录下
6、迁移动态链接库
复制Tomcat_back/bin/dynamicLibraryPath的所有文件到Tomcat/bin/dynamicLibraryPath目录下
如果Tomcat_back/bin/dynamicLibraryPath目录为空,则忽略这个步骤
7、迁移smartbi的备份文件
复制Tomcat_back/bin/smartbi_repoBackup的所有文件到Tomcat/bin/smartbi_repoBackup目录下
8、迁移smartbi的war包
复制Tomcat_back/webapps目录下所有文件到Tomcat/webapps目录下
