tomcat配置https方法

jopen 9年前發布 | 14K 次閱讀 Tomcat 應用服務器

  1. 為服務器生成證書

  2. “運行”控制臺,進入%JAVA_HOME%/bin目錄,使用如下命令進入目錄:

  3. cd “c:\Program Files\Java\jdk1.6.0_11\bin”

  4. 使用keytool為Tomcat生成證書,假定目標機器的域名是“localhost”,keystore文件存放在“D:\home\tomcat.keystore”,口令為“password”,使用如下命令生成:

  5. keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500 (參數簡要說明:“D:\home\tomcat.keystore”含義是將證書文件的保存路徑,證書文件名稱是tomcat.keystore ;“-validity 36500”含義是證書有效期,36500表示100年,默認值是90天 “tomcat”為自定義證書名稱)。

  7. 在命令行填寫必要參數:

  8. A、 輸入keystore密碼:此處需要輸入大于6個字符的字符串。

  9. B、 “您的名字與姓氏是什么?”這是必填項,并且必須是TOMCAT部署主機的域名或者IP[如:gbcom.com 或者 10.1.25.251](就是你將來要在瀏覽器中輸入的訪問地址),否則瀏覽器會彈出警告窗口,提示用戶證書與所在域不匹配。在本地做開發測試時,應填入“localhost”。

  10. C、 你的組織單位名稱是什么?”、“您的組織名稱是什么?”、“您所在城市或區域名稱是什么?”、“您所在的州或者省份名稱是什么?”、“該單位的兩字母國家代碼是什么?”可以按照需要填寫也可以不填寫直接回車,在系統詢問“正確嗎?”時,對照輸入信息,如果符合要求則使用鍵盤輸入字母“y”,否則輸入“n” 重新填寫上面的信息。

  11. D、 輸入<tomcat>的主密碼,這項較為重要,會在tomcat配置文件中使用,建議輸入與keystore的密碼一致,設置其它密碼也可以,完成上述輸入后,直接回車則在你在第二步中定義的位置找到生成的文件。

  12. 2

    為客戶端生成證書

    為瀏覽器生成證書,以便讓服務器來驗證它。為了能將證書順利導入至IE和Firefox,證書格式應該是PKCS12,因此,使用如下命令生成:

    keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12 (mykey為自定義)。

    對應的證書庫存放在“D:\home\mykey.p12”,客戶端的CN可以是任意值。雙擊mykey.p12文件,即可將證書導入至瀏覽器(客戶端)。

  13. 3

    讓服務器信任客戶端證書

    由于是雙向SSL認證,服務器必須要信任客戶端證書,因此,必須把客戶端證書添加為服務器的信任認證。由于不能直接將PKCS12格式的證書庫導入,必須先把客戶端證書導出為一個單獨的CER文件,使用如下命令:

    keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer

    (mykey為自定義與客戶端定義的mykey要一致,password是你設置的密碼)。通過以上命令,客戶端證書就被我們導出到“D:\home\mykey.cer”文件了。

    下一步,是將該文件導入到服務器的證書庫,添加為一個信任證書使用命令如下:

    keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore

    通過list命令查看服務器的證書庫,可以看到兩個證書,一個是服務器證書,一個是受信任的客戶端證書:

    keytool -list -keystore D:\home\tomcat.keystore (tomcat為你設置服務器端的證書名)。

  14. 4

    讓客戶端信任服務器證書

    由于是雙向SSL認證,客戶端也要驗證服務器證書,因此,必須把服務器證書添加到瀏覽的“受信任的根證書頒發機構”。由于不能直接將keystore格式的證書庫導入,必須先把服務器證書導出為一個單獨的CER文件,使用如下命令:

    keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer (tomcat為你設置服務器端的證書名)。

    通過以上命令,服務器證書就被我們導出到“D:\home\tomcat.cer”文件了。雙擊tomcat.cer文件,按照提示安裝證書,將證書填入到“受信任的根證書頒發機構”。

  15. 5

    配置Tomcat服務器

    打開Tomcat根目錄下的/conf/server.xml,找到Connector port="8443"配置段,修改為如下:

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

    SSLEnabled="true" maxThreads="150" scheme="https"

    secure="true" clientAuth="true" sslProtocol="TLS"

    keystoreFile="D:\\home\\tomcat.keystore" keystorePass="123456"

    truststoreFile="D:\\home\\tomcat.keystore" truststorePass="123456" />

    (tomcat要與生成的服務端證書名一致)

    屬性說明:

    clientAuth:設置是否雙向驗證,默認為false,設置為true代表雙向驗證

    keystoreFile:服務器證書文件路徑

    keystorePass:服務器證書密碼

    truststoreFile:用來驗證客戶端證書的根證書,此例中就是服務器證書

    truststorePass:根證書密碼

  16. 6

    測試

    在瀏覽器中輸入:https://localhost:8443/,會彈出選擇客戶端證書界面,點擊“確定”,會進入tomcat主頁,地址欄后會有“鎖”圖標,表示本次會話已經通過HTTPS雙向驗證,接下來的會話過程中所傳輸的信息都已經過SSL信息加密。

 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!