实战Tomcat配置SSL，使用openssl制作证书

制作证书以及Tomcat配置

1. 搭建openssl环境，下载openssl并设置环境变量方便命令行的使用；
2. 修改openssl配置文件，设置dir目录，如设置dir=e:/temp/openssl_ca，然后根据配置文件分别建立子目录：certs、crl、newcerts、private分别用来存放签发的证书、吊销的证书、证书申请、私钥；

   cd /d e:	empopenssl_ca
   mkdir certs
   mkdir crl
   mkdir newcerts
   mkdir private

3. 根据配置文件，需要建立索引文件、序列号文件、随机数文件：

   cd /d e:	empopenssl_ca
   echo 0 > index.txt
   echo 01 > serial
   openssl rand -out private/.rand 1000

4. 构建根证书密钥

   openssl genrsa -des3 -out private/ca.key.pem 2048

   密码是:oseye
5. 构建根证书申请

   openssl req -new -key private/ca.key.pem -out newcerts/ca.csr -subj "/C=CN/ST=GD/L=SZ/O=oseye/OU=oseye/CN=*.oseye.net"

6. 签发根证书

   openssl x509 -req -days 100000 -sha1 -signkey private/ca.key.pem -in newcerts/ca.csr -out certs/ca.cer

7. 构建服务器密钥

   openssl genrsa -des3 -out private/mobile.key.pem 2048

   密码是:oseyemobile
   
8. 构建服务器证书申请

   openssl req -new -key private/mobile.key.pem -out newcerts/mobile.csr -subj "/C=CN/ST=GD/L=SZ/O=oseye/OU=oseye/CN=mobile.oseye.net"

9. 签发服务器证书

   openssl x509 -req -days 100000 -sha1 -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in newcerts/mobile.csr -out certs/mobile.cer

   此处为了安全可言采用sha512来签名，更多签名算法参见这里。

   openssl x509 -req -days 100000 -sha512 -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in newcerts/mobile.csr -out certs/mobile.cer

10. 转换成java可用的格式

    openssl pkcs12 -export -clcerts -inkey private/mobile.key.pem -in certs/mobile.cer -out certs/mobile.p12

    Export密码：oseyep12
11. 使用keytool查看

    keytool -list -keystore certs/mobile.p12 -storetype pkcs12 -v -storepass oseyep12

12. 修改tomcat的配置文件server.xml

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                   maxThreads="150" scheme="https" secure="true"
                   clientAuth="false" sslProtocol="TLS" 
    	       keystoreFile="/var/oseye2.0/certs/mobile.p12" 
    	       keystorePass="oseyep12" 
    	       keystoreType="PKCS12" />

    通过./catalina.sh configtest来检测配置结果。
13. 站点http自动到https的配置
    在web.xml中

    <security-constraint>  <web-resource-collection > 
    		<web-resource-name >SSL</web-resource-name> 
    		<url-pattern>/*</url-pattern> 
    	</web-resource-collection>
    
    	<user-data-constraint> 
    		<transport-guarantee>CONFIDENTIAL</transport-guarantee> 
    	</user-data-constraint> 
    </security-constraint>

Tomcat在debian中的一点点PS

1. 安装命令：

   apt-get install tomcat7

2. tomcat7配置文件:/etc/tomcat7/
   tomcat7日志文件：/var/log/tomcat7
   tomcat7 web默认webapps：/var/lib/tomcat7/webapps
3. 修改使用sun jdk，需要在/etc/default/tomcat7添加修改变量：JAVA_HOME=/usr/oseye/lib/jvm/jdk1.7.0_67

TCP的三次握手以及状态的补充

可参考TCP的状态 (SYN, FIN, ACK, PSH, RST, URG)和TCP协议中的三次握手和四次挥手(图解)。