先使用指令, 產生 keystore.jks 檔案:

keytool -genkey -keyalg RSA -noprompt -alias tomcat -dname "CN=localhost, OU=NA, O=NA, L=NA, S=NA, C=NA" -keystore keystore.jks -validity 9999 -storepass changeme -keypass changeme

說明:

• This generates a keystore.jks file with a password of changeme,
• 請把 changeme 修改為你預期的密碼字串.
• using a keyAlias of tomcat that’s valid for 9999 days for localhost.

server.xml 修改後, http 在 8080, https 在 8443, 完整設定值:

<Connector port="8080" protocol="HTTP/1.1"
           redirectPort="8443"
           disableUploadTimeout="false"/>
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
          maxThreads="150" scheme="https" secure="true"
          keystoreFile="keystore.jks" keystorePass="<password>"
          clientAuth="false" acceptCount="100"/>

但實際執行, 顯示錯誤訊息:

INFO: The Apache Tomcat Native library which allows using OpenSSL was not found on the java.library.path: [/usr/java/packages/lib:/usr/lib64:/lib64:/lib:/usr/lib]

Tomcat支援三種接收請求的處理方式：BIO、NIO、APR

• BIO由於每個請求都要建立一個執行緒來處理，執行緒開銷比較大，不能再高併發的場景，效能也是最低的。
• NIO是一個基於緩衝區、並能提供非阻塞I/O操作的Java API，比傳統的bio更好的併發效能。
• APR（Apache Portable Run-time libraries）簡單理解，就是從操作系統級別解決非同步IO問題。

確認gcc、apr、apr-devel、apr-util 以及 JDK是否已經安裝過，沒有就需要安裝，請依序執行以下指令:

rpm -qa gcc
sudo yum install gcc
rpm -qa apr
rpm -qa apr-devel
rpm -qa apr-util
which java 
java -version

安裝 tomcat-native

官方下載點:
https://archive.apache.org/dist/tomcat/tomcat-connectors/native/2.0.3/source/

cd /usr/local/src/

sudo wget https://archive.apache.org/dist/tomcat/tomcat-connectors/native/2.0.3/source/tomcat-native-2.0.3-src.tar.gz

sudo tar xf tomcat-native-2.0.3-src.tar.gz

cd tomcat-native-2.0.3-src/native/

我是使用這組參數:

sudo ./configure --with-apr=/usr/bin/apr-1-config \
--with-java-home=/usr/lib/jvm/java-19-openjdk-19.0.2.0.7-1.rolling.el8.x86_64 \
--with-ssl=/usr/local/src/openssl-3.0.8 \
--prefix=/opt/tomcat/apache-tomcat-9.0.82

要知道你的 java home path , 很簡單, 先使用 which java 就會看到 java 在 /usr/bin/java , 但這個 path 其實是 symbol link, 去 list 一下就可以找到實際的 java home.

這個 SSL 問題比較多, 如果環境是舊的 OpenSSL 1.1.1k 需要先升級到 OpenSSL 3.0.x 版, 解法:
How to Install the latest OpenSSL version from Source on Linux
https://stackoverflow.max-everyday.com/2023/04/how-to-install-the-latest-openssl-version-from-source-on-linux/

接著.

make
make install

apache-tomcat-9.0.82/bin/catalina.sh ，在 文件最後增加這二行:

LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/opt/tomcat/apache-tomcat-9.0.82/lib
export LD_LIBRARY_PATH

說明: 你的 tomcat 可能不是在 /opt/tomcat/ 而是在其他路徑下.

說明: 雖然直接把 keystore.jks 放到與 server.xml 同一層, 但實際上 tomcat 在執行時, 又會再被多搬到下一層的 ./conf/ 目錄下.

遇到執行環境的設定錯誤時, 常會出現錯誤訊息:

tomcat keystore file does not exist

或錯誤訊息:

Caused by: java.io.FileNotFoundException: /home/max/eclipse-workspace/.metadata/.plugins/org.eclipse.wst.server.core/tmp0/keystore.jks (No such file or directory)
at

最後, 我的eclipse 的 server.xml 內容如下, 增加了 conf/ 到 keystore.jks 之前:

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" 
    	SSLEnabled="true"
          maxThreads="150" scheme="https" secure="true"
          keystoreFile="conf/keystore.jks" keystorePass="hello-your-passowrd"
          clientAuth="false" acceptCount="100"/>

真的滿神奇的…, 加 conf/ 就可以解決.

傳統的網路監聽(Sniffer)技術遇到的問題是SSL的出現，傳輸的封包被加密，無法直接監聽到封包裡的內容。使用Charles為我們便利地讓與遠端伺服器之間的傳輸 變的透明可以觀看其內容。

這篇文章要分享Max怎麼使用Charles查看https的封包內容。

Max測試情景是Charles用的是 macOS 的版本，在Android 手機的WiFi 裡設定 proxy 連到 macOS 的 Charles，並在 Android App 裡與遠端主機進行網路資料傳輸。

Max的環境：

• 作業系統：macOS 10.15.7
• Charles: ver 4.5.6
• Android手機：Mi A1 (Android 9)

另外有用一隻手機分享熱點，讓 macOS 和 Android 手機都在同一個 LAN 裡。

實作步驟如下：

1：下載和安裝Charles

官方版下載地址：
https://www.charlesproxy.com/download/

附註：

• 官方版只有30天免費使用期限。
• 安裝完打開的過程中，會彈出一個彈窗，問你是否grant privilege，要點擊「grant privilege」按鈕，這一步是授權，願意讓Charles去監聽你的瀏覽器請求。

2：安裝Charles Root Certificates

開啟 Charles 後，可以左欄很多的 unknown，點下去後可以看到 Notes：

SSL Proxying not enabled for this host

解法，點 menubar -> Help -> SSL Proxying -> Install Charles Root Certificate

接著使用 spotlight 去開啟 Keychain Access 的 App，會看到有一個紅色的X，點2下開啟。

在第一個欄位選擇「Always Trust」

這時候就會變色綠色了，沒有紅色X。

3：設定 SSL Proxying setting

在還沒設定 SSL Proxying setting 會顯示下面的Notes:

SSL Proxying not enabled for this host: enable in Proxy Settings, SSL locations

點 menubar -> Proxy -> SSL Proxying setting 裡按”Add” 按鈕，增加我們的domain：

4：在Android / iOS 手機下載設定檔

在手機的瀏覽器裡，連到下面網址，下載並安裝設定檔。
http://charlesproxy.com/getssl

接著在 Android 的 Wi-Fi 的設定的地方，去設定 proxy host 和 port 為 macOS 的 IP(主機名) 和 port(端口) 即可。

不知道 macOS 的 IP address 可以在 macOS 的 Charles 裡點 menubar -> Help -> Local IP Address.

port(端口) 預設值是 8888，想修改的話，在 Charles app 點 menubar -> Proxy -> Proxy Settings 就可以了。

以上 4個步驟就結束了，附上讓 https 變明碼的執行畫面：

^_^)y 耶～ 明碼!

相關文章

Charles Proxy macOS setup guide
https://medium.com/@yash3x/charles-proxy-macos-setup-guide-cfde50262b91

Charles的下载安装及使用
https://www.jianshu.com/p/912a9e15b174

Charles on Windows + Android 查看https封包
https://medium.com/@NorthBei/charles-on-windows-android-%E6%9F%A5%E7%9C%8Bhttps%E5%B0%81%E5%8C%85-fe6f2e6cc507

透過 Charles Proxy 工具，查看 SSL 連線的 Request 與 Response 資料
https://jzchangmark.wordpress.com/2015/05/24/%E9%80%8F%E9%81%8E-charles-%E5%B7%A5%E5%85%B7%EF%BC%8C%E6%9F%A5%E7%9C%8B-ssl-%E9%80%A3%E7%B7%9A%E7%9A%84-request-%E8%88%87-response-%E8%B3%87%E6%96%99/

Using Charles Proxy to Debug Android SSL Traffic
https://medium.com/@hackupstate/using-charles-proxy-to-debug-android-ssl-traffic-e61fc38760f7

傳統的網路監聽(Sniffer)技術遇到的問題是SSL的出現，傳輸的封包被加密，無法直接監聽到封包裡的內容。使用Charles為我們便利地讓與遠端伺服器之間的傳輸 變的透明可以觀看其內容。

Max 遇到的問題，情景是Charles左側欄位的網域名稱下全部是unknown，右側欄位的封包內容只能顯示亂碼內容。

Max測試情景是在Android 手機的WiFi 裡設定 proxy 連到 macOS 的 Charles，並在 Android App 裡與遠端主機進行網路資料傳輸，在 macOS Charles App 的 “Notes” 分頁裡顯示訊息：

SSL Proxying not enabled for this host: enable in Proxy Settings, SSL locations

解法，在 menu bar 的 “Proxy” 裡 “SSL Proxying setting” 裡按”Add” 按鈕：

把想處理的domain 的 url 增加到 Include 欄位裡，就OK了。