Tomcat+java+ssl

龍子

　　配置Tomcat+java+ssl安全证书无效的原因
　　记得2008年9月初的样子，公司一实施人员打电话来，说，按照按照手册上的方法配置Tomcat+java+ssl安全证的方法没有生效，根本无法使用HTTPS方式访问页面。
　　开始以为是他的配置方法或者某一环节有问题，打算通过VPN上去帮他配置。
　　奇怪的事情发生了，我以非常熟练得速度按照手册上的方法配置成功，但居然也无法使用HTTPS方式访问页面。（这个我以前配置过不少次，难道是环境问题....）
　　正在大家百思不得其解的状况下..........终于发现了一个问题。
　　先卖个关子............呵呵。
　　我先说说如何配置Tomcat+java+ssl安全证，然后再说是怎么解决现场实施人员的问题的。
　　一. 配置Tomcat+java+ssl安全证的方法：
　　配置过程
　　1. 生成 name key ：
　　以命令行方式切换到目录%TOMCAT_HOME%，在command命令行输入如下命令（jdk1.4以上带的工具）：
　　keytool-genkey -alias tomcat -keyalg RSA -keypass password -storepass password-keystore name.keystore -validity 3600
　　keytool -genkey -alias tomcat-keyalg RSA -keystore F:\tomcat.keystore -validity 36500
　　用户名输入域名，如localhost（开发或测试用）或hostname.domainname(用户拥有的域名)，其它全部以 enter 跳过，最后确认，此时会在%TOMCAT_HOME%name.keystore 文件。
　　注：参数 -validity 指证书的有效期(天)，缺省有效期很短，只有90天。
　　2. 将证书导入的JDK的证书信任库中:
　　这步对于Tomcat的SSL配置不是必须，但对于CAS SSO是必须的，否则会出现如下错误：edu.yale.its.tp.cas.client.CASAuthenticationException:Unable to validate ProxyTicketValidator。。。
　　导入过程分2步，第一步是导出证书，第二步是导入到证书信任库，命令如下：
　　keytool-export -trustcacerts -alias tomcat -file server.cer –keystore name.keystore-storepass password
　　keytool-import -trustcacerts -alias tomcat -file server.cer -keystore%JAVA_HOME%/jre/lib/security/cacerts -storepass password
　　keytool-import -trustcacerts -alias tomcat -file server.cer -keystore F:\cacerts-storepass password
　　如果有提示，输入Y就可以了。
　　其他有用keytool命令（列出信任证书库中所有已有证书，删除库中某个证书）：
　　keytool-list -v -keystore D:/sdks/jdk1.5.0_11/jre/lib/security/cacerts
　　keytool-delete -trustcacerts -alias tomcat -keystoreD:/sdks/jdk1.5.0_11/jre/lib/security/cacerts -storepass pass
　　3. 配置TOMCAT :
　　修改%TOMCAT_HOME%\conf\server.xml，以文字编辑器打开，查找这一行：
　　xml 代码
　　1.<Connectorprotocol="org.apache.coyote.http11.Http11NioProtocol"
　　2.port="8443" minSpareThreads="5"maxSpareThreads="75"
　　3.enableLookups="true"disableUploadTimeout="true"
　　4.acceptCount="100" maxThreads="200"
　　5.scheme="https" secure="true"SSLEnabled="true"
　　6.clientAuth="false" sslProtocol="TLS"
　　7.keystoreFile="D:/tools/apache-tomcat-6.0.10/server.keystore"
　　8.keystorePass=" password "/>
　　二.现在我来回答为什么那个奇怪的现象吧
　　原因是因为，实施人员在安装TOMCAT过程中，直接默认选择了JRE路径，导致无法找到密钥。
　　这个问题原因是黄老板（公司一位人才）发现的。
　　后来在TOMCAT CONFIGURE中重新选择了路径，指向了JDK路径。
　　在配置一次就成功了。