Jetty 6 HTTPS 配置指南

Jetty 6 支持配置 HTTPS ,它原生提供 SSL/TLS 能力,下面分前置准备完整配置步骤验证说明。


一、前置准备:SSL 证书文件

需要 Java 标准密钥库文件,二选一即可:

  1. JKS 格式(Jetty 6 最常用,Java 默认密钥库)

  2. PKCS12 (.p12/.pfx) 证书

生成 / 转换证书(简单自测)

本地测试可先用 JDK 自带 keytool 生成自签名证书:

bash 复制代码
keytool -genkeypair -alias jetty -keyalg RSA -keystore jetty.jks -storepass 123456 -keypass 123456

执行后按提示填写信息,生成 jetty.jks


二、Jetty 6 两种配置方式

Jetty 6 主流使用 XML 配置文件jetty.xml/jetty-ssl.xml),分「独立配置 SSL」和「混合 HTTP+HTTPS」。

方式 1:使用官方 jetty-ssl.xml(推荐)

Jetty 6 安装包默认自带 etc/jetty-ssl.xml,步骤如下:

  1. 放置证书

    jetty.jks 放到 Jetty 的 etc/ 目录(或自定义路径,记好绝对路径)。

  2. 修改 jetty-ssl.xml

    打开 etc/jetty-ssl.xml,找到 SslSocketConnector 节点,修改密钥库、密码、端口:

xml 复制代码
<!-- HTTPS 连接器,默认端口 8443 -->
<Call name="addConnector">
  <Arg>
    <New class="org.mortbay.jetty.security.SslSocketConnector">
      <!-- HTTPS 监听端口 -->
      <Set name="Port">8443</Set>
      <Set name="Host">0.0.0.0</Set>

      <!-- 密钥库路径(绝对/相对路径) -->
      <Set name="Keystore"><SystemProperty name="jetty.home" default="."/>/etc/jetty.jks</Set>
      <!-- 密钥库密码 -->
      <Set name="Password">123456</Set>
      <!-- 私钥密码(和上面一致) -->
      <Set name="KeyPassword">123456</Set>

      <!-- 信任库(客户端证书认证可选,自测可注释) -->
      <!-- <Set name="Truststore">...</Set> -->
      <!-- <Set name="TrustPassword">...</Set> -->
    </New>
  </Arg>
</Call>
  1. 启动 Jetty 加载 SSL 配置
bash 复制代码
# Linux/Mac
java -jar start.jar etc/jetty.xml etc/jetty-ssl.xml

# Windows
java -jar start.jar etc\jetty.xml etc\jetty-ssl.xml

同时加载 jetty.xml(HTTP 8080)+ jetty-ssl.xml(HTTPS 8443),实现双协议共存


方式 2:直接整合到 jetty.xml(只启用 HTTPS)

如果不需要 HTTP,直接在 jetty.xml 替换默认 SocketConnectorSslSocketConnector

xml 复制代码
<!-- 注释原有 HTTP SocketConnector -->
<!--
<Call name="addConnector">
  <Arg>
    <New class="org.mortbay.jetty.bio.SocketConnector">
      <Set name="Port">8080</Set>
    </New>
  </Arg>
</Call>
-->

<!-- 新增 HTTPS 连接器 -->
<Call name="addConnector">
  <Arg>
    <New class="org.mortbay.jetty.security.SslSocketConnector">
      <Set name="Port">8443</Set>
      <Set name="Keystore"><SystemProperty name="jetty.home" default="."/>/etc/jetty.jks</Set>
      <Set name="Password">123456</Set>
      <Set name="KeyPassword">123456</Set>
    </New>
  </Arg>
</Call>

直接启动:

bash 复制代码
java -jar start.jar etc/jetty.xml

三、PKCS12 (.p12/.pfx) 证书适配

如果你的证书是 .p12,只需额外指定 密钥库类型

xml 复制代码
<Set name="KeystoreType">PKCS12</Set>

完整片段:

xml 复制代码
<New class="org.mortbay.jetty.security.SslSocketConnector">
  <Set name="Port">8443</Set>
  <Set name="Keystore">/etc/your.p12</Set>
  <Set name="KeystoreType">PKCS12</Set>
  <Set name="Password">p12密码</Set>
  <Set name="KeyPassword">私钥密码</Set>
</New>

四、访问验证

启动成功后,浏览器访问:

Plain 复制代码
https://localhost:8443

自签名证书会提示「不安全」,属于正常现象,正式环境替换可信 CA 证书即可。


五、常见问题排查

  1. 启动报错:找不到 keystore

    路径错误,建议使用绝对路径测试。

  2. 密码错误:Invalid keystore format

    核对 Password/KeyPassword,JKS 和 PKCS12 不要混用类型。

  3. 端口被占用

    修改 <Set name="Port"> 为其他端口(如 8444)。

  4. Jetty 6 老旧注意:

    Jetty 6 版本过旧,仅支持老旧 SSL/TLS 协议(SSLv3、TLS1.0) ,不支持 TLS1.2/1.3,生产环境强烈建议升级 Jetty 版本

相关推荐
王二端茶倒水20 小时前
从千兆到万兆:宽带运营不能只卖套餐,要管用户生命周期从千兆到万兆:宽带运营需要管理用户生命周期
后端·网络协议·架构
牛奶2 天前
HTTPS你不知道的事
前端·https·浏览器
extrao3 天前
🚀 Kea DHCP4 自动分配系统完整搭建
网络协议
不做菜鸟的网工5 天前
BGP特性
网络协议
AlfredZhao5 天前
生产环境里,为什么不建议把普通端口直接暴露到公网?
linux·https·443·80
明月_清风7 天前
开发者网络概念全扫盲:一篇搞定
后端·网络协议
刘马想放假7 天前
Modbus 全栈技术解析:TCP、RTU、ASCII、RTU over TCP
数据结构·网络协议
王二端茶倒水8 天前
一套可落地的无线运营方案,不能只管 AP,还要管用户、计费和运维
网络协议
162723816088 天前
EtherCAT 分布式时钟(DC)原理与配置实战:把多轴真正"对齐到同一时刻"
网络协议