Tomcat5.5配备使用SSL认证

Tomcat5.5配置使用SSL认证

参考：http://www.51testing.com/?uid-257506-action-viewspace-itemid-155641

?

一：生成CA证书

不使用第三方权威机构的CA来认证，自己充当CA的角色。

?

1.?创建私钥：

C:\OpenSSL\bin>openssl?genrsa?-out?ca/ca-key.pem 2048
2.创建证书请求：

C:\OpenSSL\bin>openssl?req?-new?-out?ca/ca-req.csr?-key?ca/ca-key.pem

-----

Country?Name?(2?letter?code)?[AU]:区域代码

State?or?Province?Name?(full?name)?[Some-State]:省

Locality?Name?(eg,?city)?[]:市

Organization?Name?(eg,?company)?[Internet?Widgits?Pty?Ltd]:组织

Organizational?Unit?Name?(eg,?section)?[]:部门

Common?Name?(eg,?YOUR?name)?[]:自己的名字

Email?Address?[]:
3.自签署证书：

C:\OpenSSL\bin>openssl?x509?-req?-in?ca/ca-req.csr?-out?ca/ca-cert.pem?-signkey?ca/ca-key.pem?-days?3650
4.将证书导出成浏览器支持的.p12格式：

C:\OpenSSL\bin>openssl?pkcs12?-export?-clcerts?-in?ca/ca-cert.pem?-inkey?ca/ca-key.pem?-out?ca/ca.p12

密码：changeit，这步可以不做，浏览器直接导入ca-cert.pem

二.生成server证书

1.创建私钥：

C:\OpenSSL\bin>openssl?genrsa?-out?server/server-key.pem 2048
2.创建证书请求：

C:\OpenSSL\bin>openssl?req?-new?-out?server/server-req.csr?-key?server/server-key.pem

-----

Country?Name?(2?letter?code)?[AU]:cn

State?or?Province?Name?(full?name)?[Some-State]:zhejiang

Locality?Name?(eg,?city)?[]:hangzhou

Organization?Name?(eg,?company)?[Internet?Widgits?Pty?Ltd]:skyvision

Organizational?Unit?Name?(eg,?section)?[]:test

Common?Name?(eg,?YOUR?name)?[]:192.168.1.246???注释：一定要写服务器所在的ip地址

Email?Address?[]:
3.自签署证书：

C:\OpenSSL\bin>openssl?x509?-req?-in?server/server-req.csr?-out?server/server-cert.pem?-signkey?server/server-key.pem?-CA?ca/ca-cert.pem?-CAkey?ca/ca-key.pem?-CAcreateserial?-days?3650
4.将证书导出成浏览器支持的.p12格式：

C:\OpenSSL\bin>openssl?pkcs12?-export?-clcerts?-in?server/server-cert.pem?-inkey?server/server-key.pem?-out?server/server.p12

密码：changeit，server.xml文件中写这个密码
三.配置tomcat?ssl

修改conf/server.xml

?tomcat?5.5的配置：

<Connector?port="8443"?maxHttpHeaderSize="8192"

?????????????maxThreads="150"?minSpareThreads="25"?maxSpareThreads="75"

?????????????enableLookups="false"?disableUploadTimeout="true"

?????????????acceptCount="100"?scheme="https"?secure="true"

?????????????clientAuth="true"?sslProtocol="TLS"?

?????????????keystoreFile="server.p12"?keystorePass="changeit"?keystoreType="PKCS12" />??

四.导入证书

客户端导入将ca.p12证书

IE中去（打开IE->;Internet选项->内容->证书）

ca.p12导入至受信任的根证书颁发机构

?

五.验证ssl配置是否正确

访问你的应用http://ip:8443/，如果配置正确的话会出现请求你数字证书的对话框。