tomcat实现SSL配置（转）

tomcat实现SSL配置（转）

原文地址：http://bbs.chinaunix.net/archiver/?tid-580856.html

http://www.pcppc.cn/anquan/wangluoanquan/anquan_90340.html

 

Tomcat双向认证的问题这么多，贴一篇我总结的Tomcat双向认证方法

tomcat实现SSL配置 

编辑tomcat的配置文件server.xml，去掉下面SSL Connector的注释,修改为如下：

<Connector className="org.apache.catalina.connector.http.HttpConnector"
                    port="8443" 
                    minProcessors="5" 
                    maxProcessors="75"
                    enableLookups="true"
                    acceptCount="10" 
                    debug="0" 
                    scheme="https" 
                    secure="true">;
    <Factory className="org.apache.catalina.net.SSLServerSocketFactory"
                   clientAuth="false" 
                   keystoreFile="tomcat.keystore"
                   keystorePass="tomcat" 
                   protocol="TLS"/>
</Connector>

keystoreFile的路径是TOMCAT的安装路径下的tomcat.keystore (使用keytool生成的证书库文件)

keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validaty 365 -keystore tomcat.keystore 

keystoreFile 保存了服务器端的证书库，用于客户端认证。

 

常用的配置属性：

• clientAuth 如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书，置该值为true。
• keystoreFile 如果创建的keystore文件不在Tomcat认为的省缺位置（一个在Tomcat运行的home目录下的叫.keystore的文件），则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。
• keystorePass 如果使用了一个与Tomcat预期不同的keystore（和证书）密码，自加入该属性。
  
• keystoreType 如果使用了一个PKCS12 keystore，则加入该属性。有效值是JKS和PKCS12。
• sslProtocol socket使用的加密/解密协议。如果使用的是Sun的JVM，则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下，使用SSL。
• ciphers 此socket允许使用的被逗号分隔的密码列表。省缺情况下，可以使用任何可用的密码。
• algorithm 使用的X509算法。省缺为Sun的实现（SunX509）。对于IBM JVMS应该使用ibmX509。对于其它JVM，参考JVM文档取正确的值。
• truststorepass 访问TrustStore使用的密码。省缺值是keystorePass。
• truststoreType 如果使用一个不同于正在使用的KeyStore的TrustStore格式，加入该属性。有效值是JKS和PKC12。

使用https://localhost:8443就可以进行SSL连接的检测。

 

------------------------------------------------------------------------------------------------------------------------------

 

上述的SSL连接是客户端单向认证服务器端，如果双向认证，将server.xml文件的Connector配置clientAuth="false"

Java服务器端的证书库，服务器认证客户端时使用的根证书库。

证书库位置：JAVA_HOME/jre/lib/security/cacerts keystore密码为：changeit

将客户端个人证书的根证书导入服务器的证书库，就可以认证客户端。

服务器端证书的生成：

keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validaty 365 -keystore tomcat.keystore

keytool -certreq -alias tomcat -file Server.csr -keystore tomcat.keystore 生成证书请求文件

使用openssl命令用根证书签名，再导入签名证书

keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore

注意-trustcacerts选项，使用服务器的证书库认证该证书，首先要将根证书导入cacerts中。