asfsd 发表于 2015-8-9 10:15:15

tomcat配置openssl

  首先你建议你使用jdk1.4,它自带jsse   .   
另外你需要openssl,用来产生CA证书、签名并生成IE可导入的私钥。可以到http://www.openssl.org下载。   
下面的节选自IBM   :   developerWorks   中国网站   《配置Tomcat   4使用SSL》赵   梁   (b-i-d@163.com),并略作修改。   
   
   
4.2   建立自己的CA   
   
4.2.1   建立工作目录   
mkdir   ca   
   
4.2.2   生成CA私钥以及自签名根证书   
4.2.2.1   生成CA私钥   
openssl   genrsa   -out   ca\ca-key.pem   1024   
   
   
4.2.2.2   生成待签名证书   
openssl   req   -new   -out   ca\ca-req.csr   -key   ca\ca-key.pem   
   
   
4.2.2.3   用CA私钥进行自签名   
openssl   x509   -req   -in   ca\ca-req.csr   -out   ca\ca-cert.pem   -signkey   ca\ca-key.pem   -days   365   
   
4.3   设置Tomcat   4.x   
在本文中用符号"%JDK_HOME%"来表示JDK的安装位置,用符号"%TCAT_HOME%"   表示Tomcat的安装位置。   
   
4.3.1建立工作目录   
mkdir   server   
   
4.3.2   生成server端证书   
4.3.2.1   生成KeyPair   
%JDK_HOME%\bin\keytool   -genkey   -alias   tomcat_server   -validity   365   -keyalg   RSA   -keysize   1024   -keypass   changeit   -storepass   changeit   -dname   "cn=localhost,   ou=department,   o=company,   l=Beijing,   st=Beijing,   c=CN"   -keystore   server\server_keystore   
   
4.3.2.2   生成待签名证书   
%JDK_HOME%\bin\keytool   -certreq   -alias   tomcat_server   -sigalg   MD5withRSA   -file   server\server.csr   -keypass   changeit   -keystore   server\server_keystore   -storepass   changeit   
   
4.3.2.3   用CA私钥进行签名   
openssl   x509   -req   -in   server\server.csr   -out   server\server-cert.pem   -CA   ca\ca-cert.pem   -CAkey   ca\ca-key.pem   -days   365   
   
4.3.2.4   导入信任的CA根证书到JSSE的默认位置(%JDK_ROOT   %/jre/security/cacerts)   
%JDK_HOME%\bin\keytool   -import   -v   -trustcacerts   -storepass   changeit   -alias   my_ca_root   -file   ca\ca-cert.pem   -keystore   %JDK_HOME%\jre\lib\security\cacerts   
   
4.3.2.5   把CA签名后的server端证书导入keystore   
%JDK_HOME%\bin\keytool   -import   -v   -trustcacerts   -storepass   changeit   -alias   tomcat_server   -file   server\server-cert.pem   -keystore   server\server_keystore   
   
4.3.2.6   查看server端证书   
keytool   -list   -keystore   %JDK_HOME%\jre\lib\security\cacerts   
keytool   -list   -keystore   server\server_keystore   
   
4.3.3   修改server.xml使Tomcat支持SSL   
首先找到以下内容,去掉对其的注释。然后参照红色部分修改。如果配置Tomcat不验证客户身份,可以设置clientAuth="false"。   
   
   
      
然后把文件server\server_keystore复制到目录%TCAT_HOME%\conf\下。   
   
4.4   Client端安装信任的根证书   
把ca\ca-cert.pem改名为ca\ca-key.cer,在client端的IE中使用"工具   '   Internet选项   '   内容   '   证书   '   导入"把我们生成的CA根证书导入,使其成为用户信任的CA。   
   
4.5   用IE浏览器使用SSL协议访问Tomcat   
   
4.5.1   启动Tomcat   4.x   
执行%TCAT_HOME%\bin\startup.bat启动Tomcat   4.x   
   
4.5.2   用IE访问Tomcat   4.x   
在IE浏览器的地址栏中输入https://localhost:8443,如果前面的操作都正确的话,应该可以看到Tomcat的欢迎页面。同时状态栏上的小锁处于闭合状态,表示您已经成功地与服务器建立了要求客户端验证的SSL安全连接。
页: [1]
查看完整版本: tomcat配置openssl