Tomcat version 9.0 only supports J2EE 1.2, 1.3, 1.4, and Java EE 5, 6, 7, and 8 Web modules

解法，設成 Dynamic Web Module 下拉 Version 為 3.0 即可。

How to make Tomcat run on 443 instead of its default port 8080?

比簡單的解法:

You need to use the OUTPUT chain as the packets meant for the loopback interface do not pass via the PREROUTING chain. The following should work; run as root:

iptables -t nat -A OUTPUT -o lo -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A OUTPUT -o lo -p tcp --dport 443 -j REDIRECT --to-port 8443

Cause

Ports below 1024 are called Privileged Ports and in Linux (and most UNIX flavors and UNIX-like systems), they are not allowed to be opened by any non-root user. This is a security feature originally implemented as a way to prevent a malicious user from setting up a malicious service on a well-known service port.

Resolution

There are a few different solutions to work around this:

1. Install and configure Apache or nginx as a reverse proxy server, which can be started as root to open the port, and then downgrade its privileges back to a normal user.
2. Set up a firewall on the server using iptables or an alternative, so that the lower port number is forwarded internally to a higher port number listened by Confluence.
3. Use jsvc, which is able to open ports as root, and then downgrade privileges.
4. Use authbind to grant privileges for a non-root user to open a privileged port.
5. If using Linux 2.6.24 or later, you can set up a file capability on the java executable, to give elevated privileges to allow opening privileged ports only, and no other superuser privileges:
   # setcap cap_net_bind_service+ep /path/to/bin/javaAfter setting this you may notice errors when starting Java like this, for example:
   $ java -version /path/to/bin/java: error while loading shared libraries: libjli.so: cannot open shared object file: No such file or directoryThis means that the library is being imported from a dynamic path, and not in the trusted ld.so path. See http://bugs.sun.com/view_bug.do?bug_id=7157699 for details. To fix this, you need to locate the library, and add its path to the ld.so configuration. Note that the below is an example, and this may differ depending on Linux distribution. Replace JAVA_HOME with the correct location:
   $ find JAVA_HOME -name 'libjli.so' JAVA_HOME/lib/amd64/jli/libjli.so   # echo "JAVA_HOME/lib/amd64/jli" > /etc/ld.so.conf.d/java-libjli.conf # ldconfig -vAfter setting this all up, you need to make sure that Confluence only starts java with the direct binary path, and not via a symbolic link, otherwise the capability will not be picked up.
   Setting this up means that any user can open privileged ports using Java, which may or may not be acceptable for you

Whilst it may get things working, it is not recommended to run Confluence as root. If there is ever any security vulnerability where an attacker may execute arbitrary code as the running user, then they will gain root access.

把 webapp 目錄裡的 ./ROOT/ 目錄移掉, 再把path=”” 就解決了.

解法:
https://stackoverflow.com/questions/5328518/deploying-my-application-at-the-root-in-tomcat

1. Remove the out-of-the-box ROOT/ directory from tomcat and rename your war file to ROOT.war before deploying it.
2. Deploy your war as (from your example) war_name.war and configure the context root in conf/server.xml to use your war file :<Context path="" docBase="war_name" reloadable="true"></Context>

The first one is easier, but a little more kludgy. The second one is probably the more elegant way to do it.

下載 Tomcat

官方網站: https://tomcat.apache.org/

選擇 Binary Distributions 裡的 Core 分類裡的 .tar.gz 來下載, 例如 tomcat 9.x:
https://tomcat.apache.org/download-90.cgi

我的環境的 tomcat 目錄是在 /opt/tomcat/, 先到目的資料夾：

cd /opt/tomcat

先把 tar.gz 搬到或下載到 /opt/tomcat/, 下載用指令：

sudo wget https://dlcdn.apache.org/tomcat/tomcat-9/v9.0.93/bin/apache-tomcat-9.0.93.tar.gz

使用下列指令解壓縮

sudo tar zxvf apache-tomcat-9.0.93.tar.gz

上圖可以看的出來, 搬進去 /opt/tomcat 的帳號是 max, 解壓縮後目錄的擁有者的是 root

關於權限的設定, 下載並解壓縮好 tomcat 的 .tar.gz 之後, 由於是開發環境, 並不是實際營運的線上環境, 建議在解壓縮完後, 粗暴地修改整個目錄 chown 為 tomcat:tomcat, 修改檔案屬性 chmod 755.

sudo chown tomcat:tomcat -R apache-tomcat-9.0.93
sudo chmod 755 -R apache-tomcat-9.0.93

備份 Server 參數

升級前, 請先把 eclipse workspace 裡的 Server 目錄備份下來, 不然之前輸入進去的參數需要重新來過, 很花時間.

Eclipse 的設定

在 eclipse 裡, 點 Window -> Server

New Server, 在 Tomcat 分類展開, 選擇你的Tomcat 主版號, 我是用 Tomcat 9.0

接著點 “Configu runtime environments…, 可以在這裡新增下載到的版本, 順便把舊的版本也刪掉, 避免太多版本, 容易混亂.

以我的情境來說, 因為 [漏洞編號] CVE-2023-41080: FORM 認證功能中存在 URL 重新導向到不受信任網站的漏洞, 目標是, 是 tomcat 要從 9.0.86 升到 9.0.93,

刪除新的下載的 9.0.93 資料夾

sudo rm -rf apache-tomcat-9.0.93/webapps/ROOT
sudo rm -rf apache-tomcat-9.0.93/webapps/docs
sudo rm -rf apache-tomcat-9.0.93/webapps/examples
sudo rm -rf apache-tomcat-9.0.93/webapps/host-manager

執行畫面:

搬動使用到的第三方 .jar 元件:

sudo cp apache-tomcat-9.0.86/lib/commons-io-2.11.0.jar apache-tomcat-9.0.93/lib/
sudo cp apache-tomcat-9.0.86/lib/json-20230227.jar apache-tomcat-9.0.93/lib/
sudo cp apache-tomcat-9.0.86/lib/mysql-connector-j-8.0.32.jar apache-tomcat-9.0.93/lib/

接著是把用到的tomcat 以外的第三方元件, 重新修改在 eclipse project 裡的properties 裡的

說明:

• 先點 Classpath 圖示後, 按下右邊的Add External JARs… 加入的 .jar 檔.
• 如果是先 Remove, 再 Add External JARs…, 需要在 Order and Export 裡設勾 .jar 一起 Export.
• 如果無法瀏覽 /opt/tomcat/apache-tomat-9.0.93/ 目錄, 請把目錄權限設為 755 問題就解決了.

在 Window -> Server 裡, 並把目前的專案, 加入新 Server 裡, 成功之後, 再去刪掉舊版本的Server, 這樣子設定值比較好複製。

重要：
由於 server.xml 的格式內容，可能在新的 tomcat 版本被調整，建議的作法是，先備份舊版設定值，然後去修改新的 tomcat 裡產生出來的 xml 檔，比較不會發生問題。

在增加新的 Server 時, 記得要把 resource 也一起加進去, 沒加的話, 新的 Server 會跑不動。

新的 Tomcat 可以執行後, 舊的有問題的版本, 就可以直接刪除了。

由於掉刪 Servers, 可能會顯示錯誤訊息：

javax.servlet cannot be resolved

解法：只要按照下列步驟在Eclipse中導入就可以了。右擊項目，選擇Properties， 進入下界面，依次點擊：

Java Build Path —> Add Library —> Server Runtime —> Next

相關文章

How To Create A Self Signed SSL Certificate For Use With Tomcat?
https://stackoverflow.max-everyday.com/2023/04/how-to-create-a-self-signed-ssl-certificate-for-use-with-tomcat/

How To Store String Values In Tomcat Context.Xml
https://stackoverflow.max-everyday.com/2023/03/how-to-store-string-values-in-tomcat-context-xml/

How To Start A New Thread When Tomcat Start
https://stackoverflow.max-everyday.com/2023/06/how-to-start-a-new-thread-when-tomcat-start/

How to upgrade Tomcat version manually on existing on-premise Foundry instance in case of security vulnerabilities
https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0099544

Server Apache Tomcat v9 at localhost was unable to start within 45 seconds. If the server requires more time, try increasing the timeout in the server editor.
https://stackoverflow.max-everyday.com/2024/08/server-apache-tomcat-was-unable-to-start-within-45-seconds/

/conf/catalina.policy (Permission denied)

發生的原因, 是因為在 Linux 上, 執行 eclipse 時的帳號並不是 tomcat 所造成, 而是一般的使用者, 比較有效率但粗暴的解法, 是直接開權限 755 給 apache-tomcat-x-x-x 目錄, 例如:

chmod 755 -R apache-tomcat-9.0.82

只是要解決開發環境的話, 可以這樣子設定, 但是實際上線的伺服器, 請使用 tomcat 官方預設給的權限, 才會是最佳解法, 才會有效的降低權限的風險.

這種執行環境設定上的問題, 太久沒遇到, 會完全忘記之怎麼解決, 畢竟久久才會升級 tomcat 一次.

先使用指令, 產生 keystore.jks 檔案:

keytool -genkey -keyalg RSA -noprompt -alias tomcat -dname "CN=localhost, OU=NA, O=NA, L=NA, S=NA, C=NA" -keystore keystore.jks -validity 9999 -storepass changeme -keypass changeme

說明:

• This generates a keystore.jks file with a password of changeme,
• 請把 changeme 修改為你預期的密碼字串.
• using a keyAlias of tomcat that’s valid for 9999 days for localhost.

server.xml 修改後, http 在 8080, https 在 8443, 完整設定值:

<Connector port="8080" protocol="HTTP/1.1"
           redirectPort="8443"
           disableUploadTimeout="false"/>
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
          maxThreads="150" scheme="https" secure="true"
          keystoreFile="keystore.jks" keystorePass="<password>"
          clientAuth="false" acceptCount="100"/>

但實際執行, 顯示錯誤訊息:

INFO: The Apache Tomcat Native library which allows using OpenSSL was not found on the java.library.path: [/usr/java/packages/lib:/usr/lib64:/lib64:/lib:/usr/lib]

Tomcat支援三種接收請求的處理方式：BIO、NIO、APR

• BIO由於每個請求都要建立一個執行緒來處理，執行緒開銷比較大，不能再高併發的場景，效能也是最低的。
• NIO是一個基於緩衝區、並能提供非阻塞I/O操作的Java API，比傳統的bio更好的併發效能。
• APR（Apache Portable Run-time libraries）簡單理解，就是從操作系統級別解決非同步IO問題。

確認gcc、apr、apr-devel、apr-util 以及 JDK是否已經安裝過，沒有就需要安裝，請依序執行以下指令:

rpm -qa gcc
sudo yum install gcc
rpm -qa apr
rpm -qa apr-devel
rpm -qa apr-util
which java 
java -version

安裝 tomcat-native

官方下載點:
https://archive.apache.org/dist/tomcat/tomcat-connectors/native/2.0.3/source/

cd /usr/local/src/

sudo wget https://archive.apache.org/dist/tomcat/tomcat-connectors/native/2.0.3/source/tomcat-native-2.0.3-src.tar.gz

sudo tar xf tomcat-native-2.0.3-src.tar.gz

cd tomcat-native-2.0.3-src/native/

我是使用這組參數:

sudo ./configure --with-apr=/usr/bin/apr-1-config \
--with-java-home=/usr/lib/jvm/java-19-openjdk-19.0.2.0.7-1.rolling.el8.x86_64 \
--with-ssl=/usr/local/src/openssl-3.0.8 \
--prefix=/opt/tomcat/apache-tomcat-9.0.82

要知道你的 java home path , 很簡單, 先使用 which java 就會看到 java 在 /usr/bin/java , 但這個 path 其實是 symbol link, 去 list 一下就可以找到實際的 java home.

這個 SSL 問題比較多, 如果環境是舊的 OpenSSL 1.1.1k 需要先升級到 OpenSSL 3.0.x 版, 解法:
How to Install the latest OpenSSL version from Source on Linux
https://stackoverflow.max-everyday.com/2023/04/how-to-install-the-latest-openssl-version-from-source-on-linux/

接著.

make
make install

apache-tomcat-9.0.82/bin/catalina.sh ，在 文件最後增加這二行:

LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/opt/tomcat/apache-tomcat-9.0.82/lib
export LD_LIBRARY_PATH

說明: 你的 tomcat 可能不是在 /opt/tomcat/ 而是在其他路徑下.

說明: 雖然直接把 keystore.jks 放到與 server.xml 同一層, 但實際上 tomcat 在執行時, 又會再被多搬到下一層的 ./conf/ 目錄下.

遇到執行環境的設定錯誤時, 常會出現錯誤訊息:

tomcat keystore file does not exist

或錯誤訊息:

Caused by: java.io.FileNotFoundException: /home/max/eclipse-workspace/.metadata/.plugins/org.eclipse.wst.server.core/tmp0/keystore.jks (No such file or directory)
at

最後, 我的eclipse 的 server.xml 內容如下, 增加了 conf/ 到 keystore.jks 之前:

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" 
    	SSLEnabled="true"
          maxThreads="150" scheme="https" secure="true"
          keystoreFile="conf/keystore.jks" keystorePass="hello-your-passowrd"
          clientAuth="false" acceptCount="100"/>

真的滿神奇的…, 加 conf/ 就可以解決.

Q: How to download and install prebuilt OpenJDK packages

A: 先下載好特定平台的壓縮檔，再解開來就可以直接使用：

OpenJDK 下載網址：
http://jdk.java.net/9/

解壓縮用指令：

$ tar xvf openjdk-9.*_bin.tar.gz

Max是用 maxOS 開發，所以是在 /Library/Java/JavaVirtualMachines 這個目錄下執行指令：

sudo tar xvf ~/Downloads/openjdk-9.0.4_osx-x64_bin.tar.gz

Q: How to remove Java 8 JDK from Mac

A:

Run this command to just remove the JDK

sudo rm -rf /Library/Java/JavaVirtualMachines/jdk<version>.jdk

Run these commands if you want to remove plugins

sudo rm -rf /Library/PreferencePanes/JavaControlPanel.prefPane
sudo rm -rf /Library/Internet\ Plug-Ins/JavaAppletPlugin.plugin
sudo rm -rf /Library/LaunchAgents/com.oracle.java.Java-Updater.plist
sudo rm -rf /Library/PrivilegedHelperTools/com.oracle.java.JavaUpdateHelper
sudo rm -rf /Library/LaunchDaemons/com.oracle.java.Helper-Tool.plist
sudo rm -rf /Library/Preferences/com.oracle.java.Helper-Tool.plist

移掉 Sun JDK 之後，再去 run tomcat 就會顯示錯誤訊息：

The archive: /Library/Java/JavaVirtualMachines/jdk1.8.0_144.jdk/Contents/Home/lib/tools.jar which is referenced by the classpath, does not exist.

解法，要刪掉舊的 TimCat Server 重新增加 Web Server, 並指定 JRE 為 openJDK 的版本即可。

附註：如果有修改 server.xml, web.xml, catelina.policy 等檔案，記得要先備份。

接著 build 會出問題：

javax.activation classes throws NoClassDefFoundError
https://bugs.openjdk.java.net/browse/JDK-8187748?jql=project%20in%20(JDK)%20AND%20component%20in%20(core-libs)%20AND%20Subcomponent%20in%20(javax.activation)

原來不只我才遇到，結論：

千萬不要用「太新」的版本！stable 最重要！

遇到這個問題 2個解法，1是加參數去 build, 我選擇方法 2降版為 JDK 8 版，改用 openJDK 8 的下載網址：
http://jdk.java.net/8/

附註：macOS 下載 .dmg 檔案，點 2下就安裝好了。

JDK 8

Debian, Ubuntu, etc.

On the command line, type:

$ sudo apt-get install openjdk-8-jdk

很多情況不會在 server 上開發，所以安裝 jre 即可

$ sudo apt-get install openjdk-8-jre

Fedora, Oracle Linux, CentOS, Red Hat Enterprise Linux, etc.

On the command line, type:

$ sudo yum install java-1.8.0-openjdk

安裝完後， jre 目錄會在：

/usr/lib/jvm/jre/bin/ 之下

如果需要設定或存取，可以在這folder 下拿到 binary.

********************************************

Apache 安裝 SSL 憑證

在 /etc/httpd/conf/httpd.conf 裡要設定
Include conf.d/*.conf
這樣 httpd 才會去讀取 conf.d 裡所有的 conf 檔

在 /etc/httpd/conf.d 目錄下，建立一個 ssl.conf 預設應該會有，然後修改底下幾個項目

# 指定 x509 憑證的副檔名 crt

AddType application/x-x509-ca-cert .crt

# 指向你剛剛用 openssl 所產出來主機金鑰 KEY

SSLCertificateKeyFile /etc/ssl/private/server.key

# 指向剛剛從憑證中心取得的 網域憑證，網域憑證只需要複製到你指定的路徑即可。

SSLCertificateFile /etc/ssl/certs/server.crt

# 憑證鍊

SSLCertificateChainFile /etc/ssl/certs/uca.crt

憑證鍊就比較麻煩，因為中繼憑證可能為一層，也可能為兩層，如果從 TWCA 拿到的是兩層的中繼憑證，你可以把 uca_1.cer 跟 uca_2.cer 作合併存為 uca.crt ，uca_2.cer 在上面。

cp uca_2.cer uca.crt 
cat uca_1.cer >> uca.crt

接著把 apache httpd 的服務重啟 sudo /etc/init.d/httpd restart 就可以啟用新的憑證了。

[W 170906 08:19:15 iostream:1327] SSL Error on 9 ('192.168.1.55', 62014): [SSL: TLSV1_ALERT_UNKNOWN_CA] tlsv1 alert unknown ca (_ssl.c:661)

而且是無窮迴圈， client side 會一直 retry…，大約每1秒可以呼叫到 8個 request。

解法當然就是 web server 分在不同台就好了…

我是透過下面的指令來建立自有憑證：

I created SSL certificates using these steps:

Create the CA private key:

openssl genrsa -des3 -out servercakey.pem 

Create the CA public certificate (When you create a certificate, there must be one unique name (a Distinguished Name (DN)), which is different for each certificate that you create):

openssl req -new -x509 -key servercakey.pem -out root.crt 

Create the server’s private key file:

openssl genrsa -out server.key 

Create the server certificate request:

openssl req -new -out reqout.txt -key server.key 

Use the CA private key file to sign the server’s certificate:

openssl x509 -req -in reqout.txt -days 3650 -sha1 -CAcreateserial -CA root.crt -CAkey servercakey.pem -out server.crt 

Create the client’s private key file:

openssl genrsa -out client.key 

Create the client certificate request:

openssl req -new -out reqout.txt -key client.key 

Use the CA private key file to sign the client’s certificate:

openssl x509 -req -in reqout.txt -days 3650 -sha1 -CAcreateserial -CA root.crt -CAkey servercakey.pem -out client.crt 

Creating pem file for Server:

cat server.crt root.crt > server.pem

上面很多指令是多餘的，產生的檔案也都沒有使用到，tornado 只使用到 2個：

 server_https = HTTPServer(self.app, xheaders=True, ssl_options = {
 "certfile": os.path.join(options.certificate_path, "server.crt"),
 "keyfile": os.path.join(options.certificate_path, "server.key"),
 })

Step 1: 為伺服器產生簽章庫

keytool -genkey -v -alias tomcat -keyalg RSA -validity 10000 -keystore ./tomcat.keystore -dname "CN=localhost,OU=my,O=my,L=Taipei,ST=Taiwan,c=TW" -storepass changeit -keypass changeit

執行完會多一個檔案。

Step 2:修改 Tomcat 目錄下的 conf/server.xml:

找到 <Connector port=”8443″ … 這部份的設定應該是被註解掉了，把註解拿掉! 並且加上 keystoreFile 及 keystorePass 兩個屬性，內容值當然就依第一步驟產生的填入。

<Connector port=”8443″ protocol=”org.apache.coyote.http11.Http11Protocol”

               maxThreads=”150″ SSLEnabled=”true” scheme=”https” secure=”true”

keystoreFile=“/Users/max/Documents/settings/tomcat.keystore” keystorePass=“changeit” keyAlias=“tomcat”

               clientAuth=”false” sslProtocol=”TLS” />

醬子就完成了，耶真的連上去了。

我之前試了其他篇文章，發現 keystorePass=“changeit” 的密碼不知道該用 -keypass 還是用 storepass，所以最佳解法就是這2組pass 都設成一樣的，不然會出現下面的Error.