zoukankan      html  css  js  c++  java
  • tomcat证书配置(来源于http://my.oschina.net/zhxm/blog/161159)

    第一步:为服务器生成证书
      1、进入%JAVA_HOME%/bin目录
      2、使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件存放在“D: omcat.keystore”,口令为“password”,使用如下命令生成:            keytool -genkey -v -alias tomcat -keyalg RSA -keystore D: omcat.keystore -validity 36500
    (参数简要说明:“D:home omcat.keystore”含义是将证书文件的保存路径,证书文件名称是tomcat.keystore ;“-validity 36500”含义是证书有效期,36500表示100年,默认值是90天)
      在命令行填写必要参数:

         A、输入keystore密码:此处需要输入大于6个字符的字符串
        B、“您的名字与姓氏是什么?”这是必填项,并且必须是TOMCAT部署主机的域名或者IP[如:gbcom.com 或者 10.1.25.251](就是你将来要在浏览器中输入的访问地址),否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”
        C、“你的组织单位名称是什么?”、“您的组织名称是什么?”、“您所在城市或区域名称是什么?”、“您所在的州或者省份名称是什么?”、“该单位的两字母国家代码是什么?”可以按照需要填写也可以不填写直接回车,在系统询问“正确吗?”时,对照输入信息,如果符合要求则使用键盘输入字母“y”,否则输入“n”重新填写上面的信息
        D、输入<tomcat>的主密码,这项较为重要,会在tomcat配置文件中使用,建议输入与keystore的密码一致,设置其它密码也可以
    完成上述输入后,直接回车则在你在第二步中定义的位置找到生成的文件

    第二步:为客户端生成证书
      为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成:    keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:mykey.p12
    对应的证书库存放在“D:mykey.p12”,客户端的CN可以是任意值。双击mykey.p12文件,即可将证书导入至浏览器(客户端)。
    第三步:让服务器信任客户端证书
      由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,必须先把客户端证书导出为一个单独的CER文件,使用如下命令:
    keytool -export -alias mykey -keystore D:mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:mykey.cer
    通过以上命令,客户端证书就被我们导出到“D:mykey.cer”文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:
    keytool -import -v -file D:mykey.cer -keystore D: omcat.keystore
    通过list命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:
    keytool -list -keystore D: omcat.keystore

    第四步:让客户端信任服务器证书
      由于是双向SSL认证,客户端也要验证服务器证书,因此,必须把服务器证书添加到浏览的“受信任的根证书颁发机构”。由于不能直接将keystore格式的证书库导入,必须先把服务器证书导出为一个单独的CER文件,使用如下命令:
    keytool -keystore D: omcat.keystore -export -alias tomcat -file D: omcat.cer
    通过以上命令,服务器证书就被我们导出到“D: omcat.cer”文件了。双击tomcat.cer文件,按照提示安装证书,将证书填入到“受信任的根证书颁发机构”。

    第五步:配置Tomcat服务器
      打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下:
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="D:\tomcat.keystore" keystorePass="password" truststoreFile="D:\tomcat.keystore" truststorePass="password" />
    属性说明:
    clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证 keystoreFile:服务器证书文件路径 keystorePass:服务器证书密码 truststoreFile:用来验证客户端证书的根证书,此例中就是服务器证书 truststorePass:根证书密码

    第六步:强制https访问 

      在tomcatconfweb.xml中的</welcome-file-list>后面加上这样一段:

      <login-config>       

        <auth-method>CLIENT-CERT</auth-method>       

        <realm-name>Client Cert Users-only Area</realm-name>  

       </login-config>  

      <security-constraint>       

         <web-resource-collection >           

          <web-resource-name >SSL</web-resource-name>           

           <url-pattern>/*</url-pattern>       

         </web-resource-collection>       

        <user-data-constraint>           

          <transport-guarantee>CONFIDENTIAL</transport-guarantee>       

         </user-data-constraint>  

      </security-constraint>

    第七步:验证配置是否成功 
      在浏览器中输入https://localhost:8443/ 如果提示安装证书表示配置成功

  • 相关阅读:
    hdu 5224 Tom and paper 水题
    2015 UESTC 搜索专题N题 韩爷的梦 hash
    2015 UESTC 搜索专题M题 Palindromic String 马拉车算法
    2015 UESTC 搜索专题K题 秋实大哥の恋爱物语 kmp
    2015 UESTC 搜索专题J题 全都是秋实大哥 kmp
    2015 UESTC 搜索专题F题 Eight Puzzle 爆搜
    2015 UESTC 搜索专题E题 吴队长征婚 爆搜
    2015 UESTC 搜索专题D题 基爷的中位数 二分
    2015 UESTC 搜索专题C题 基爷与加法等式 爆搜DFS
    2015 UESTC 搜索专题B题 邱老师降临小行星 记忆化搜索
  • 原文地址:https://www.cnblogs.com/lifeone/p/4951991.html
Copyright © 2011-2022 走看看