Tomcat6配置SSL
项目中需要使用SSL,具体如下:
1 使用dos命令生成密钥文件
keytool -genkey -alias evaima -keyalg RSA -keystore evaima.keystore
evaima 可以改为自己想要使用的名称
dos窗口显示如下:
输入keystore密码:
再次输入新密码:
您的名字与姓氏是什么?
[Unknown]: evaima ----这里名称要和主机全名一致.
您的组织单位名称是什么?
[Unknown]: NONE
您的组织名称是什么?
[Unknown]: NONE
您所在的城市或区域名称是什么?
[Unknown]: BEIJING
您所在的州或省份名称是什么?
[Unknown]: BEIJING
该单位的两字母国家代码是什么
[Unknown]: CN
CN=evaima, OU=NONE, O=NONE, L=BEIJING, ST=BEIJING, C=CN 正确吗?
[否]: y
输入<evaima>的主密码
(如果和 keystore 密码相同,按回车):
在当前用户的文档目录中生成了evaima.keystore文件.
2 使用dos命令生成csr请求文件,用于得到合法的证书
keytool -certreq -keyalg RSA -alias evaima -file evaima.csr -keystore evaima.keystore
3 访问http://www.verisign.com/ssl/index.html
选择free Trial
输入相关内容,在输入csr内容的页面,
选择Select Server Platform: Server not listed
选择What do you plan to use this SSL Certificate for? (optional): Web server
Paste Certificate Signing Request (CSR), obtained from your server: 输入第二步生成的csr文件的内容.
再输入验证密码,随便输入就可以,只要最后别忘记点击接收,系统就会往你注册的邮箱发送一封信,信中就包含了合法的证书内容
4 从邮件中把证书内容拷贝到一个文件中,然后改文件名为cert.cer
5 按照邮件中的说明,安装三个证书文件
keytool -import -alias intermediateCA -keystore evaima.keystore -trustcacerts -file b.cer
keytool -import -alias root -keystore evaima.keystore -file a.cer
[a.cer 文件为根证书,因为是测试使用,所以需要,如果真正买的话,应该不需要此证书.
b.cer 类似吧.我也不是很明白]
keytool -import -alias evaima -keystore evaima.keystore -trustcacerts -file cert.cer
6 更改tomcat的ssl配置
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="C:/Documents and Settings/Administrator/evaima.keystore" keystorePass="evaima"
clientAuth="false" sslProtocol="TLS" />
7 如果做单点登录,那还需要使用下面的语句在客户端导入证书
keytool -import -keystore %JAVA_HOME%/jre/lib/security/cacerts -file cert.cer -alias server
以上在本地配置成功(WinXP+JDK1.6+Tomcat6),不保证其他环境下可行.
如有发现不对的地方,请指出,咱们共同进步.
