tomcat配置openssl

首先你建议你使用jdk1.4，它自带jsse   .  
  另外你需要openssl,用来产生CA证书、签名并生成IE可导入的私钥。可以到http://www.openssl.org下载。  
  下面的节选自IBM   :   developerWorks   中国网站   《配置Tomcat   4使用SSL》赵   梁   (b-i-d@163.com)，并略作修改。  
   
   
  4.2   建立自己的CA  
   
  4.2.1   建立工作目录    
  mkdir   ca  
   
  4.2.2   生成CA私钥以及自签名根证书    
  4.2.2.1   生成CA私钥    
  openssl   genrsa   -out   ca\ca-key.pem   1024  
   
   
  4.2.2.2   生成待签名证书    
  openssl   req   -new   -out   ca\ca-req.csr   -key   ca\ca-key.pem  
   
   
  4.2.2.3   用CA私钥进行自签名    
  openssl   x509   -req   -in   ca\ca-req.csr   -out   ca\ca-cert.pem   -signkey   ca\ca-key.pem   -days   365  
   
  4.3   设置Tomcat   4.x    
  在本文中用符号"%JDK_HOME%"来表示JDK的安装位置，用符号"%TCAT_HOME%"   表示Tomcat的安装位置。  
   
  4.3.1建立工作目录    
  mkdir   server  
   
  4.3.2   生成server端证书    
  4.3.2.1   生成KeyPair  
  %JDK_HOME%\bin\keytool   -genkey   -alias   tomcat_server   -validity   365   -keyalg   RSA   -keysize   1024   -keypass   changeit   -storepass   changeit   -dname   "cn=localhost,   ou=department,   o=company,   l=Beijing,   st=Beijing,   c=CN"   -keystore   server\server_keystore  
   
  4.3.2.2   生成待签名证书  
  %JDK_HOME%\bin\keytool   -certreq   -alias   tomcat_server   -sigalg   MD5withRSA   -file   server\server.csr   -keypass   changeit   -keystore   server\server_keystore   -storepass   changeit  
   
  4.3.2.3   用CA私钥进行签名  
  openssl   x509   -req   -in   server\server.csr   -out   server\server-cert.pem   -CA   ca\ca-cert.pem   -CAkey   ca\ca-key.pem   -days   365    
   
  4.3.2.4   导入信任的CA根证书到JSSE的默认位置(%JDK_ROOT   %/jre/security/cacerts)  
  %JDK_HOME%\bin\keytool   -import   -v   -trustcacerts   -storepass   changeit   -alias   my_ca_root   -file   ca\ca-cert.pem   -keystore   %JDK_HOME%\jre\lib\security\cacerts    
   
  4.3.2.5   把CA签名后的server端证书导入keystore  
  %JDK_HOME%\bin\keytool   -import   -v   -trustcacerts   -storepass   changeit   -alias   tomcat_server   -file   server\server-cert.pem   -keystore   server\server_keystore    
   
  4.3.2.6   查看server端证书  
  keytool   -list   -keystore   %JDK_HOME%\jre\lib\security\cacerts  
  keytool   -list   -keystore   server\server_keystore    
   
  4.3.3   修改server.xml使Tomcat支持SSL  
  首先找到以下内容，去掉对其的注释。然后参照红色部分修改。如果配置Tomcat不验证客户身份，可以设置clientAuth="false"。    
  <Connector   className="org.apache.catalina.connector.http.HttpConnector"  
                        port="8443"   minProcessors="5"   maxProcessors="75"  
                        enableLookups="true"  
                        acceptCount="10"   debug="0"   scheme="https"   secure="true">  
  <Factory   className="org.apache.catalina.net.SSLServerSocketFactory"  
                        clientAuth="false"   protocol="TLS"  
  keystoreFile="%TCAT_HOME%/conf/server_keystore"   keystorePass="changeit"  
                        />  
     
  然后把文件server\server_keystore复制到目录%TCAT_HOME%\conf\下。  
   
  4.4   Client端安装信任的根证书  
  把ca\ca-cert.pem改名为ca\ca-key.cer，在client端的IE中使用"工具   '   Internet选项   '   内容   '   证书   '   导入"把我们生成的CA根证书导入，使其成为用户信任的CA。  
   
  4.5   用IE浏览器使用SSL协议访问Tomcat  
   
  4.5.1   启动Tomcat   4.x  
  执行%TCAT_HOME%\bin\startup.bat启动Tomcat   4.x  
   
  4.5.2   用IE访问Tomcat   4.x  
  在IE浏览器的地址栏中输入https://localhost:8443，如果前面的操作都正确的话，应该可以看到Tomcat的欢迎页面。同时状态栏上的小锁处于闭合状态，表示您已经成功地与服务器建立了要求客户端验证的SSL安全连接。