Tomcat6.0 配置SSL
参考:http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html
http://docs.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html
?
?
java keytool 安全证书
Keytool是一个Java数据证书的管理工具。?
?
keystore?
Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中
在keystore里,包含两种数据:?
密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)?
可信任的证书实体(trusted certificate entries)——只包含公钥?
?
Alias(别名)?
每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写?
?
keystore的存储位置?
在没有制定生成位置的情况下,keystore会存在与用户的系统默认目录,?
如:对于window xp系统,会生成在系统的C:\Documents and Settings\UserName\?
文件名为“.keystore”?
?
keystore的生成
?
引用
keytool -genkey -alias tomcat -keyalg RSA ? -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 180
?
参数说明:?
-genkey表示要创建一个新的密钥?
-dname表示密钥的Distinguished Names,?
CN=commonName?
OU=organizationUnit?
O=organizationName?
L=localityName?
S=stateName?
C=country?
Distinguished Names表明了密钥的发行者身份?
-keyalg使用加密的算法,这里是RSA?
-alias密钥的别名?
-keypass私有密钥的密码,这里设置为changeit
-keystore 密钥保存在D:盘目录下的mykeystore文件中?
-storepass 存取密码,这里设置为changeit,这个密码提供系统从mykeystore文件中将信息取出?
-validity该密钥的有效期为 180天 (默认为90天)
?
cacerts证书文件(The cacerts Certificates File)?
改证书文件存在于java.home\lib\security目录下,是Java系统的CA证书仓库?
?
创建证书
1.服务器中生成证书:(注:生成证书时,CN要和服务器的域名相同,如果在本地测试,则使用localhost)
keytool -genkey -alias tomcat -keyalg RSA -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit
2.导出证书,由客户端安装:
keytool -export -alias tomcat -keystore d:\mykeystore -file d:\mycerts.cer -storepass changeit
3.客户端配置:为客户端的JVM导入密钥(将服务器下发的证书导入到JVM中)
keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -file d:\mycerts.cer -storepass changeit
生成的证书可以交付客户端用户使用,用以进行SSL通讯,或者伴随电子签名的jar包进行发布者的身份认证。
?
?
keytool生成证书:
?
验证是否已创建过同名的证书
keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit
删除已创建的证书
keytool -delete -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit
?
生成 server key :
以命令行方式cmd,在command命令行输入如下命令(jdk1.4以上带的工具):?
keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600
用户名输入域名,如localhost(开发或测试用)或hostname.domainname(用户拥有的域名),其它全部以 enter 跳过,最后确认,此时会在当前目录下生成server.keystore 文件。
注:参数 -validity 指证书的有效期(天),缺省有效期很短,只有90天。
?
将证书导入的JDK的证书信任库中:
这步对于Tomcat的SSL配置不是必须,但对于CAS SSO是必须的,否则会出现如下错误:edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate ProxyTicketValidator。。。
导入过程分2步,第一步是导出证书,第二步是导入到证书信任库,命令如下:
keytool -export -trustcacerts -alias tomcat -file server.cer -keystore ?server.keystore -storepass changeit
keytool -import -trustcacerts -alias tomcat -file server.cer -keystore ?%JAVA_HOME%/jre/lib/security/cacerts -storepass changeit
如果有提示,输入Y就可以了。
keytool生成根证书时出现如下错误:
keytool错误:java.io.IOException:keystore was tampered with,or password was incorrect
原因是在你的home目录下是否还有.keystore存在。如果存在那么把他删除掉,后再执行,或者删除"%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS 再执行
?
?
?
?
配置tomcat打开server.xml
?
取消注释或添加
<Connector port="8443" ?className="org.apache.coyote.http11.Http11Protocol"?
? ? ? ? ? ? ? ?maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
? ? ? ? ? ? ? ?enableLookups="true" disableUploadTimeout="true"
? ? ? ? ? ? ? ?acceptCount="100" scheme="https" secure="true"
? ? ? SSLEnabled="true" clientAuth="false"
? ? ? ? ? ? ? ?keystoreFile="c:/server.keystore" keystorePass="changeit"
? ? ? truststoreFile="${user.home}/server.keystore" truststorePass="changeit"? ? ? ? ? ? ? ?sslProtocol="TLS" truststoreFile="${JAVA_HOME}?/jre/lib/security/cacerts"/>
这样就可以通过 https://localhost:8443 ?访问了.
如果出现严重: Error initializing endpointjava.lang.Exception: No Certificate file specified or invalid file format
把tomcat下的bin目录下的tcnative-1.dll删掉,重启一下服务器,就可以访问了
