tomcat实现SSL配置(转)
tomcat实现SSL配置(转)原文地址:http://bbs.chinaunix.net/archiver/?tid-580856.html
http://www.pcppc.cn/anquan/wangluoanquan/anquan_90340.html
Tomcat双向认证的问题这么多,贴一篇我总结的Tomcat双向认证方法
tomcat实现SSL配置
编辑tomcat的配置文件server.xml,去掉下面SSL Connector的注释,修改为如下:
<Connector className="org.apache.catalina.connector.http.HttpConnector"
port="8443"
minProcessors="5"
maxProcessors="75"
enableLookups="true"
acceptCount="10"
debug="0"
scheme="https"
secure="true">;
<Factory className="org.apache.catalina.net.SSLServerSocketFactory"
clientAuth="false"
keystoreFile="tomcat.keystore"
keystorePass="tomcat"
protocol="TLS"/>
</Connector>
keystoreFile的路径是TOMCAT的安装路径下的tomcat.keystore (使用keytool生成的证书库文件)
keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validaty 365 -keystore tomcat.keystore
keystoreFile 保存了服务器端的证书库,用于客户端认证。
常用的配置属性:
[*]clientAuth如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书,置该值为true。
[*]keystoreFile如果创建的keystore文件不在Tomcat认为的省缺位置(一个在Tomcat运行的home目录下的叫.keystore的文件),则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。
[*]keystorePass
如果使用了一个与Tomcat预期不同的keystore(和证书)密码,自加入该属性。
[*]keystoreType
如果使用了一个PKCS12 keystore,则加入该属性。有效值是JKS和PKCS12。
[*]sslProtocol
socket使用的加密/解密协议。如果使用的是Sun的JVM,则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下,使用SSL。
[*]ciphers此socket允许使用的被逗号分隔的密码列表。省缺情况下,可以使用任何可用的密码。
[*]algorithm使用的X509算法。省缺为Sun的实现(SunX509)。对于IBM JVMS应该使用ibmX509。对于其它JVM,参考JVM文档取正确的值。
[*]truststorepass访问TrustStore使用的密码。省缺值是keystorePass。
[*]truststoreType
如果使用一个不同于正在使用的KeyStore的TrustStore格式,加入该属性。有效值是JKS和PKC12。
使用https://localhost:8443就可以进行SSL连接的检测。
------------------------------------------------------------------------------------------------------------------------------
上述的SSL连接是客户端单向认证服务器端,如果双向认证,将server.xml文件的Connector配置clientAuth="false"
Java服务器端的证书库,服务器认证客户端时使用的根证书库。
证书库位置:JAVA_HOME/jre/lib/security/cacerts keystore密码为:changeit
将客户端个人证书的根证书导入服务器的证书库,就可以认证客户端。
服务器端证书的生成:
keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validaty 365 -keystore tomcat.keystore
keytool -certreq -alias tomcat -file Server.csr -keystore tomcat.keystore 生成证书请求文件
使用openssl命令用根证书签名,再导入签名证书
keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore
注意-trustcacerts选项,使用服务器的证书库认证该证书,首先要将根证书导入cacerts中。
页:
[1]