Tomcat SSL配置——服务端单向认证
----------------------------------------------------------
转自:http://www.diybl.com/course/webjsh/osgl/20071118/86487.html
----------------------------------------------------------
我使用的版本:
配置步骤如下:
?
1. 生成server key:
keytool -genkey -alias tomcat -keyalg RSA -validity 365 -keypass changeit -storepass changeit -keystore server.keystore
??? 随后会出现提示输入组织、地区等信息,按情况输入即可。?
?
2. 将证书导入JDK的证书信任库中:
keytool -export -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass changeit ?
?
keytool -import -trustcacerts -alias tomcat -file server.cer -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit
?
注1) keypass、storepass 似乎都只能用changeit,试过用其他密码,结果在启动tomcat时出现如下异常:
java.io.IOException: Cannot recover key
at org.apache.tomcat.util.net.jsse.JSSESocketFactory.init。
?
?
注2) 由此产生的证书,默认是属于非信任网站之列的。
?
3. copy server.keystore 、server.cer 、cacerts 文件到tomcat根目录;
?
4. 配置tomcat :
修改%TOMCAT_HOME%\conf\server.xml, 找到?
<!-- Define a SSL HTTP/1.1 Connector on port 8443 --><!-- <Connector port="8443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" /> -->
?
?去掉注释,并在最后加上2个属性:
<!-- Define a SSL HTTP/1.1 Connector on port 8443 --> <Connector port="8443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="server.keystore" keystorePass="changeit" />
?
?
注1) 如不要保留http访问,则可以将 <Connector port="8080" ... 那段注释掉。
?
注2) https默认端口为443,将端口配置改为443,则URL无需端口号,如 https://localhost/?(类似http的80端口)。
?
?
