Tomcat配置成https方式访问（单向认证）

atomti

浏览: 260670 次
性别:
来自: 成都

最近访客更多访客>>

wedwxy

newfeel

maoshiba

tm_qin

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

https SSL

Tomcat Scheme XML Socket SUN

在命令提示符窗口，进入Tomcat目录，执行以下命令：
keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600
通过以上步骤生成server.keystore证书文件、

注意: localhost，是网站的域名或者ip,根据实际情况填写，比如 www.baidu.com 192.168.0.85 否则会出现证书上的名称无效，或者与站点名称不匹配。

将servlet.xml一下的的注释打开（最好拷贝此段）

<Connector protocol="org.apache.coyote.http11.Http11Protocol"
                     port="8443" maxHttpHeaderSize="8192"
           maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
           enableLookups="false" disableUploadTimeout="true"
           acceptCount="100" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="server.keystore"
           keystorePass="changeit"/>
到这一步访问https;//ip:8443/item

一般Tomcat默认的SSL端口号是8443，但是对于SSL标准端口号是443，这样在访问网页的时候，直接使用https而不需要输入端口号就可以访问，如https://loalhost/webserver
想要修改端口号，需要修改Tomcat的server.xml文件：
1.non-SSL HTTP/1.1 Connector定义的地方，一般如下：
     <Connector port="80" maxHttpHeaderSize="8192"
                maxThreads="500" minSpareThreads="25" maxSpareThreads="75"
                enableLookups="false" redirectPort="443" acceptCount="100"
                connectionTimeout="20000" disableUploadTimeout="true" />
将其中的redirectPort端口号改为：443
2.SSL HTTP/1.1 Connector定义的地方，修改端口号为：443，如下：
<Connector
   port="443" maxHttpHeaderSize="8192"
   maxThreads="150" minSpareThreads="25"
   maxSpareThreads="75"
   enableLookups="false"
   disableUploadTimeout="true"
   acceptCount="100" scheme="https"
   secure="true"
   clientAuth="false" sslProtocol="TLS"
   keystoreFile="conf/tomcat.keystore"
   keystorePass="123456" />
3.AJP 1.3 Connector定义的地方，修改redirectPort为443，如下：
     <Connector port="8009"
                enableLookups="false" redirectPort="443" protocol="AJP/1.3" />

重新启动Tomcat就可以了。到这一步可以形成访问方式 http://ip/item

到tomcat下面的webapps下面的ROOT下面的index.jsp文件的内容
<?xml version="1.0" encoding="ISO-8859-1"?>
<%response.sendRedirect("/item");%>

修改web.xml文件的内容
<?xml version="1.0" encoding="ISO-8859-1"?>
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
    version="2.4">

<display-name>Welcome to Tomcat</display-name>
<description>
     Welcome to Tomcat
</description>

<welcome-file-list>
   <welcome-file>/index.jsp</welcome-file>
</welcome-file-list>
</web-app>
删除lib目录下的lib文件
重启Tomcat服务器，在这一步可以直接通过https:ip来访问项目

（附录：）tomcat的配置文件SSL部分详细说明

配置文件server.xml，SSL部分：

Xml代码

<!-- A "Connector" represents an endpoint by which requests are received
and responses are returned. Documentation at :
Java HTTP Connector: /docs/config/http.html (blocking & non-blocking)
Java AJP Connector: /docs/config/ajp.html
APR (HTTP/AJP) Connector: /docs/apr.html
Define a non-SSL HTTP/1.1 Connector on port 8080
-->
<Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false"
disableUploadTimeout="true"
acceptCount="100"
scheme="https"
secure="true"
clientAuth="false"
sslProtocol="TLS"
keystoreFile="D:/Tomcat/conf/tomcatKey.keystore"
keystorePass="changeit"
algorithm="SunX509"
/>

    <!-- A "Connector" represents an endpoint by which requests are received
         and responses are returned. Documentation at :
         Java HTTP Connector: /docs/config/http.html (blocking & non-blocking)
         Java AJP  Connector: /docs/config/ajp.html
         APR (HTTP/AJP) Connector: /docs/apr.html
         Define a non-SSL HTTP/1.1 Connector on port 8080
    -->
    <Connector  port="8443" maxHttpHeaderSize="8192"
        maxThreads="150"
        minSpareThreads="25"
        maxSpareThreads="75"
        enableLookups="false"
        disableUploadTimeout="true"
        acceptCount="100"
        scheme="https"
        secure="true"
        clientAuth="false"
        sslProtocol="TLS"
        keystoreFile="D:/Tomcat/conf/tomcatKey.keystore"
        keystorePass="changeit"
        algorithm="SunX509"
    />

属性说明：

port：这个port属性(默认值是8443)是 TCP/IP端口数码，Tomcat在其上监听安全连接。你可以把它更改成任何你愿意要的数值(如默认的https通信，数目是443)。不过，在许多操作系统中，要想在比1024小的端口数码上运行Tomcat，需要特殊的设置(它超出了这个文档资料的范围)。

redirectPort：如果你在这里更改端口数值，你还必须更改在non-SSL连接器上的redirectPort 这个属性特定的值。这允许Tomcat自动地redirect那些试图访问有安全限制页面的用户，指明根据 Servlet 2.4 Specification要求，SSL是必需的

clientAuth：如果你想要Tomcat要求所有的SSL客户在使用这个socket时出示用户认证书，把这个值设定为 true 。如果你想要Tomcat要求出示用户认证书，但是如果没有认证书也可以，就把这个值设定为want 。

keystoreFile：如果你产生的keystore文件不在Tomcat期望的默认地方(一个叫做.keystore 的文件在Tomcat运行的主目录)，就添加这个属性。你可以指定一个绝对路径名称，或者一个由$CATALINA_BASE环境变量而派生的相对路径名称。

keystorePass：如果你使用一个不同的keystore(以及认证书)密码，而不是Tomcat期望的密码 (就是changeit)，添加这个元素。

keystoreType：如果使用一个PKCS12 keystore的话，就添加这个element。有效的值是JKS 和 PKCS12

sslProtocol：要在这个socket上被使用的加密／解密协定。如果你在使用Sun的JVM，我们不提倡更改这个值。据报道，TLS协定的IBM's 1.4.1 实现与一些通用的浏览器不兼容。如果是这样，就使用value SSL

ciphers：这个socket允许使用的由逗号分隔开的加密密码列单。默认的情况下，任何可用的密码都允许被使用。

algorithm：可用的X509算法。默认是Sun的实现( SunX509 )。对于IBM JVMs，你应该使用值 IbmX509。对于其他卖主，查阅JVM文档资料来找正确的值。

truststoreFile：用来验证用户认证书的TrustStore文件。

truststorePass：访问TrustStore的密码。默认值就是keystorePass的值。

truststoreType：如果你在使用与KeyStore不同格式的TrustStore，添加这个元素。合法的值是JKS和PKCS12

keyAlias：如果 keystore 里面有多个 key，你可以为用这个选项为加入的 key 起一个名字。如果没有指定名字，使用时 keystore 内的第一个 key 将会被使用。

分享到：

备忘：启用 Tomcat 下的 HTTPS | MyEclipse 7.0 Milestone-1破解

2010-01-07 10:11
浏览 6732
评论(0)
分类:编程语言
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论