Tomcat日志中的SSL/TLS配置检查

Tomcat日志中的 SSL/TLS 配置检查

一 定位与查看日志

• 日志位置：进入 <TOMCAT_HOME>/logs，优先查看 catalina.out 与 localhost.<日期>.log。启动或访问 8443/443 时，SSL/TLS 初始化与握手异常都会在这里打印。
• 快速检索关键词（区分大小写）：
  • 初始化与端口绑定：“Failed to initialize end point”、“ProtocolHandler”、“http-nio-8443”
  • 密钥库与口令：“Keystore was tampered with, or password was incorrect”
  • 证书与链：“unable to find valid certification path to requested target”、“certificate verify failed”
  • 握手与协议/套件：“handshake failure”、“no cipher suites in common”、“unsupported protocol”
• 启用调试日志（仅在排障时临时开启）：在 catalina.sh/catalina.bat 的 JAVA_OPTS 增加 -Djavax.net.debug=ssl,handshake，可输出握手细节与证书链验证过程。

二 常见日志与配置要点对照

三 配置与证书快速自检

• 核对 server.xml 关键项：
  • Connector 端口（如 8443）、SSLEnabled=“true”、协议（如 Http11NioProtocol）。
  • 下 certificateKeystoreFile、certificateKeystorePassword、证书 type（常见 RSA）。
  • 显式设置 TLSv1.2,TLSv1.3 与 强套件白名单。
• 证书与链：
  • 使用 keytool -list -v -keystore conf/keystore.jks 检查别名、有效期、证书链长度。
  • 若证书更换，修改后需重启 Tomcat 使其生效。
• 网络连通与连通性验证：
  • 本机测试：openssl s_client -connect localhost:8443 -servername your.domain
  • 远程测试：替换 localhost 为服务器地址，检查链、协议与套件是否符合预期。

四 一键排查清单

• 查看 catalina.out/localhost.log，定位具体异常关键词（初始化、密钥库、握手、证书链）。
• 校验 keystore 路径/口令 与 证书别名 是否正确，证书未过期且 CN/SAN 匹配访问域名。
• 在 显式配置 TLSv1.2/1.3 与强套件，禁用不安全协议/套件。
• 确保中间证书已导入，证书链完整。
• 修改配置后彻底重启 Tomcat，必要时清理浏览器/客户端 SSL 状态。
• 使用 openssl s_client 与在线工具（如 Qualys SSL Labs）复核协议、套件与链。