Tomcat 出现 404 错误后的原因分析

当 Tomcat 部署完 SSL 后，访问页面出现 404 错误的情况，并不一定直接与 SSL 有关系。SSL（Secure Sockets Layer）协议主要负责为应用程序提供加密通讯层，确保数据传输的安全性。404 错误则是 HTTP 协议的一种状态码，表示客户端请求的资源在服务器上不存在。因此，404 错误通常与应用程序部署、URL 路径、文件系统等方面有关，但 SSL 本身并不会导致 404 错误。

尽管如此，SSL 的配置过程可能影响到服务器的其他方面，从而间接导致 404 错误。这种情况可能出现在 SSL 配置引发了其他配置的变化，导致资源路径、虚拟主机设置或者映射规则等出现问题。分析和排查时，需要从多个方面进行深入的检查。

1. 确认 SSL 部署的正确性

在 SSL 部署过程中，我们需要确保以下几个关键步骤没有出错，否则即便 SSL 部署成功，也可能引发访问异常。

• 证书的正确配置：确保 SSL 证书已成功安装，并且配置文件中证书链完整。通常，SSL 证书和私钥的路径需要正确指向 Tomcat 配置文件中的 server.xml 文件，配置语法和路径必须无误。例如：

  <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
             maxThreads="150" scheme="https" secure="true"
             clientAuth="false" sslProtocol="TLS"
             keystoreFile="conf/your_keystore.jks" keystorePass="password" />
  

  这里，如果 keystoreFile 或 keystorePass 配置有误，Tomcat 可能会启动失败，或者在 SSL 通道上出现错误，尽管这不直接导致 404，但可能影响到访问路径。

• SSL 端口的配置：在 server.xml 文件中，确保 SSL 服务监听的端口与客户端访问时使用的端口一致。如果 SSL 配置了非默认的 443 端口（例如 8443），需要明确地在浏览器中使用对应的端口号，否则即便 SSL 配置成功，访问 URL 时仍可能出现 404 错误。

  示例：https://yourdomain.com:8443/yourapp

2. 检查应用程序部署状态

SSL 部署成功后，接下来应该检查应用程序本身是否正确部署。出现 404 错误的常见原因是应用程序的路径或资源没有正确映射到服务器上。

• WAR 文件的正确性：Tomcat 通常通过 WAR 文件部署应用程序，WAR 文件需要放在 webapps 目录中。如果部署的 WAR 文件有损坏、没有解压成功或者文件名不正确，Tomcat 会返回 404 错误。例如，如果应用名为 myapp，但访问 URL 是 https://yourdomain.com/anotherapp，这会导致 404 错误。

• 应用程序的启动状态：查看 Tomcat 的日志文件，确保应用程序启动时没有抛出异常。常见问题包括应用程序内部依赖错误、数据库连接失败、初始化失败等。这些问题可能导致应用没有完全启动，页面访问时出现 404 错误。Tomcat 的 catalina.out 日志文件可以帮助确认应用是否正确启动。

  日志中的关键字如 SEVERE、ERROR 等，通常标记了启动过程中的重大错误，可以作为排查的起点。

3. URL 路径的正确性

SSL 部署本身不影响 URL 路径的解析，但如果 SSL 配置后，修改了 server.xml 或 web.xml 中的路径配置，可能会影响 URL 映射，从而导致 404 错误。

• Context Path 的检查：每个应用在 Tomcat 中都有其特定的 Context Path，这决定了客户端访问时的 URL。例如，如果应用 myapp 部署在 Tomcat 中的 webapps 目录下，但没有设置 Context Path，那么默认的访问路径是 https://yourdomain.com/myapp。如果 server.xml 中设置了 <Context path="/anotherapp" docBase="myapp" />，那么客户端需要通过 https://yourdomain.com/anotherapp 进行访问，否则会出现 404 错误。

• URL 大小写敏感：Tomcat 对 URL 的大小写非常敏感。如果资源的路径是 /MyApp/index.html，而客户端请求的是 /myapp/index.html，即便资源存在，也会返回 404 错误。

4. 访问权限与安全设置

SSL 配置过程中，可能会涉及到一些安全方面的配置，这些配置如果与应用程序的访问权限发生冲突，也可能导致访问异常。

• 权限配置：在应用的 web.xml 中，确保没有设置限制 SSL 访问的权限配置。例如，某些应用可能配置了 HTTPS 强制访问，这时如果使用 HTTP 协议访问会被重定向到 HTTPS。如果 HTTPS 配置不当，可能会出现 404 错误。

  <security-constraint>
      <web-resource-collection>
          <web-resource-name>Protected Area</web-resource-name>
          <url-pattern>/*</url-pattern>
      </web-resource-collection>
      <user-data-constraint>
          <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
  </security-constraint>  

上述配置强制要求所有资源通过 HTTPS 访问，如果访问的是 HTTP，会导致错误或重定向失效，进而出现 404。

5. Tomcat 和防火墙的配置

网络环境和防火墙配置也可能影响到页面的访问。如果 SSL 部署后修改了 Tomcat 的配置，导致防火墙规则未更新，也可能影响访问。

• 防火墙端口：SSL 通信通常使用端口 443，如果使用了非默认端口（如 8443），需要确保服务器防火墙开放了对应端口，否则外部访问时会阻断请求。

• 负载均衡和代理服务器：在一些复杂的部署环境中，Tomcat 可能位于负载均衡器或代理服务器之后。如果这些服务器的配置在 SSL 部署后没有同步更新，可能会导致请求被阻断或路径解析错误，进而返回 404 错误。检查代理服务器（如 Nginx、Apache HTTP Server）是否正确转发了 SSL 请求到 Tomcat，确保路径没有问题。

例如，Nginx 代理的常见配置如下：

  server {
      listen 443 ssl;
      server_name yourdomain.com;

      location / {
          proxy_pass http://localhost:8080;
          proxy_set_header Host $host;
          proxy_set_header X-Real-IP $remote_addr;
          proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      }
  }

如果代理路径配置有误，可能会导致 SSL 请求没有被正确转发，客户端会收到 404 错误。

6. 案例分析：SSL 部署后的 404 问题

在一个实际案例中，某企业在 Tomcat 上部署了 SSL 后，发现所有页面访问都返回了 404 错误。经过分析，发现问题的根源是由于在部署 SSL 时，他们修改了 server.xml 中的 Context 配置，并引入了新的 virtual host 配置，导致应用的 Context Path 发生了变化。原来的访问路径为 /myapp，但新的 server.xml 配置导致访问路径变为了 /newapp，因此原始路径返回 404。

通过恢复正确的 Context Path 配置，问题得以解决。

总结来说，SSL 部署后出现 404 错误，通常是因为其他配置的变更或遗漏引发的。分析时需要从 SSL 配置、应用部署、URL 路径、权限设置等多个角度进行排查，结合日志文件中的信息逐步定位问题。