Tomcat6配置HTTPS

2010-04-22 14:00

       我使用的JDK版本为JDK6，使用的的Tomcat版本为6；配置Tomcat下的HTTPS其实很简单，只需要完成两步工作就可以 了；SSL认证分双向认证和单向认证，如果为又向认证则客户端也需要安装已生成好的文件。

一、生成“服务器证书文件”

我把生成的“服务器证书文件”取名为server.jks。简单起见，我把server.jks放在D盘根目录下面,配置环境为windows.

首先使用JDK自带的工具keytool生成一个“服务器证书”，取名为server.jks。

tomcat6配置双向认证

1、生成服务器端证书

Java 代码

1keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn"

-alias server -keypass password -keystore d:\\server.jks -storepass password -validity 3650

2、生成客户端证书

Java 代码

2keytool -genkey -keyalg RSA -dname "cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn" 

-alias custom -storetypePKCS12 -keypass password -keystored:\\custom.p12

-storepass password -validity 3650  

客户端的CN可以是任意值。

3、由于是双向SSL认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书 库导入，我们必须先把客户端证书导出为一个单独的CER文件，使用如下命令，先把客户端证书导出为一个单独的cer文件：

Java 代码

3keytool -export -alias custom -filed:\\custom.cer -keystore d:\\custom.p12

 -storepass password -storetype PKCS12 -rfc  

然后，添加客户端证书到服务器中（将已签名数字证书导入密钥库）

Java 代码

4keytool -import -v -alias custom -filed:\\custom.cer -keystore d:\\server.jks -storepass password  

4、查看证书内容

Java 代码

5keytool -list -v -keystored:\\server.jks -storepass password  

5、配置tomcat service.xml文件

Xml代码 

clientAuth="true" sslProtocol="TLS"  

keystoreFile="D:/server.jks" keystorePass="password" truststoreFile="D:/server.jks" truststorePass="password" />  

clientAuth="true"表示双向认证

6、导入客户端证书到浏览器

双向认证需要强制验证客户端证书。双击“custom.p12”即可将证书导入至IE

tomcat6配置单向认证

1、生成服务器端证书

Java 代码

6keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn"

-alias server -keypass password -keystored:\\server.jks -storepass password -validity 3650