tomcat 支持https

HTTP是平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。为了保证 这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。SSL目前的版本是3.0,被IETF(Internet Engineering Task Force)定义在RFC 6101中,之后IETF对SSL 3.0进行了升级,于是出现了TLS(Transport Layer Security) 1.0,定义在RFC 2246。实际上我们现在的HTTPS都是用的TLS协议,但是由于SSL出现的时间比较早,并且依旧被现在浏览器所支持,因此SSL依然是HTTPS的 代名词,但无论是TLS还是SSL都是上个世纪的事情,SSL最后一个版本是3.0,今后TLS将会继承SSL优良血统继续为我们进行加密服务。目前 TLS的版本是1.2,定义在RFC 5246中,暂时还没有被广泛的使用。


1:进入%JAVA_HOME%/bin目录,使用如下命令进入目录:

cd “c:\Program Files\Java\jdk1.6.0_11\bin” 

使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件存放在“D:\home\tomcat.keystore”,口令为“password”,使用如下命令生成:

keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500  (36500表示100年,默认90天)

 

在命令行填写必要参数,名字。单位,什么的  随便输入字符串就行、



2:为客户端生成证书:keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12 (mykey为自定义)。对应的证书库存放在“D:\home\mykey.p12”,客户端的CN可以是任意值。双击mykey.p12文件,即可将证书导入至浏览器(客户端)。

 

3:让服务器信任客户端证书

keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer 

(mykey为自定义与客户端定义的mykey要一致,password是你设置的密码)。通过以上命令,客户端证书就被我们导出到“D:\home\mykey.cer”文件了。

 

4:文件导入到服务器的证书库

将该文件导入到服务器的证书库,添加为一个信任证书使用命令如下:

  keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore

通过list命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:

keytool -list -keystore D:\home\tomcat.keystore (tomcat为你设置服务器端的证书名)。

 

 

5:让客户端信任服务器证书

keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer (tomcat为你设置服务器端的证书名)。

通过以上命令,服务器证书就被我们导出到“D:\home\tomcat.cer”文件了。双击tomcat.cer文件,按照提示安装证书,将证书填入到“受信任的根证书颁发机构”。

 

 

6:配置tomcat

打开Tomcat根目录下的/conf/server.xml,找到Connector port="8443"配置段,修改为如下:

 

 

SSLEnabled="true" maxThreads="150" scheme="https"

secure="true" clientAuth="true" sslProtocol="TLS"

keystoreFile="D:\\home\\tomcat.keystore" keystorePass="123456"

truststoreFile="D:\\home\\tomcat.keystore" truststorePass="123456" />

(tomcat要与生成的服务端证书名一致)

属性说明:

 

clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证

keystoreFile:服务器证书文件路径

keystorePass:服务器证书密码

truststoreFile:用来验证客户端证书的根证书,此例中就是服务器证书

truststorePass:根证书密码

 

7:测试

在浏览器中输入:https://localhost:8443/,会弹出选择客户端证书界面,点击“确定”,会进入tomcat主页,地址栏后会有“锁”图标,表示本次会话已经通过HTTPS双向验证,接下来的会话过程中所传输的信息都已经过SSL信息加密。



8:说明

值得注意的是   在eclipse下测试失败了,myeclipse下正常,直接单独tomcat测试也成功。不知道是不是eclipse的bug。  eclipse在导入以后集成的tomcat配置了,并不是在tomcat所在路径,eclipse集成tomcat会覆盖磁盘路径上的tomcat。


tomcat 支持https
posted @ 2014-11-14 21:36  红尘客栈  阅读(330)  评论(0编辑  收藏  举报