tomcat实现SSL配置（转）

色胃康胶囊

tomcat实现SSL配置（转）

原文地址：http://bbs.chinaunix.net/archiver/?tid-580856.html

http://www.pcppc.cn/anquan/wangluoanquan/anquan_90340.html

　　Tomcat双向认证的问题这么多，贴一篇我总结的Tomcat双向认证方法
　　
tomcat实现SSL配置 
　　编辑tomcat的配置文件server.xml，去掉下面SSL Connector的注释,修改为如下：

<Connector className="org.apache.catalina.connector.http.HttpConnector"
port="8443"
minProcessors="5"
maxProcessors="75"
enableLookups="true"
acceptCount="10"
debug="0"
scheme="https"
secure="true">;
<Factory className="org.apache.catalina.net.SSLServerSocketFactory"
clientAuth="false"
keystoreFile="tomcat.keystore"
keystorePass="tomcat"
protocol="TLS"/>
</Connector>
　　keystoreFile的路径是TOMCAT的安装路径下的tomcat.keystore (使用keytool生成的证书库文件)
　　keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validaty 365 -keystore tomcat.keystore 
　　keystoreFile 保存了服务器端的证书库，用于客户端认证。
　　常用的配置属性：

• clientAuth如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书，置该值为true。
  
• keystoreFile如果创建的keystore文件不在Tomcat认为的省缺位置（一个在Tomcat运行的home目录下的叫.keystore的文件），则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。
  
• keystorePass
  如果使用了一个与Tomcat预期不同的keystore（和证书）密码，自加入该属性。
  
• keystoreType
  如果使用了一个PKCS12 keystore，则加入该属性。有效值是JKS和PKCS12。
  
• sslProtocol
  socket使用的加密/解密协议。如果使用的是Sun的JVM，则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下，使用SSL。
  
• ciphers此socket允许使用的被逗号分隔的密码列表。省缺情况下，可以使用任何可用的密码。
  
• algorithm使用的X509算法。省缺为Sun的实现（SunX509）。对于IBM JVMS应该使用ibmX509。对于其它JVM，参考JVM文档取正确的值。
  
• truststorepass访问TrustStore使用的密码。省缺值是keystorePass。
  
• truststoreType
  如果使用一个不同于正在使用的KeyStore的TrustStore格式，加入该属性。有效值是JKS和PKC12。
  

　　使用https://localhost:8443就可以进行SSL连接的检测。
　　------------------------------------------------------------------------------------------------------------------------------
　　上述的SSL连接是客户端单向认证服务器端，如果双向认证，将server.xml文件的Connector配置clientAuth="false"
　　Java服务器端的证书库，服务器认证客户端时使用的根证书库。
　　证书库位置：JAVA_HOME/jre/lib/security/cacerts keystore密码为：changeit
　　将客户端个人证书的根证书导入服务器的证书库，就可以认证客户端。
　　服务器端证书的生成：
　　keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validaty 365 -keystore tomcat.keystore
　　keytool -certreq -alias tomcat -file Server.csr -keystore tomcat.keystore 生成证书请求文件
　　使用openssl命令用根证书签名，再导入签名证书
　　keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore
　　注意-trustcacerts选项，使用服务器的证书库认证该证书，首先要将根证书导入cacerts中。