tomcat实现SSL配置

lishenghan

tomcat实现SSL配置

tomcat实现SSL配置！ Tomcat双向认证的问题这么多，贴一篇我总结的Tomcat双向认证方法  tomcat实现SSL配置   tomcat实现SSL配置  编辑tomcat的配置文件server.xml，去掉下面SSL Connector的注释,修改为如下：                    keystoreFile的路径是TOMCAT的安装路径下的tomcat.keystore(使用keytool生成的证书库文件)  >keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore  keystoreFile保存了服务器端的证书库，用于客户端认证。  常用的配置属性：  clientAuth  如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书，置该值为true。   keystoreFile  如果创建的keystore文件不在Tomcat认为的缺省位置（一个在Tomcat运行的home目录下的叫.keystore的文件），则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。  keystorePass  如果使用了一个与Tomcat预期不同的keystore（和证书）密码，则加入该属性。   keystoreType  如果使用了一个PKCS12 keystore，加入该属性。有效值是JKS和PKCS12。   sslProtocol  socket使用的加密/解密协议。如果使用的是Sun的JVM，则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下，使用SSL。   ciphers  此socket允许使用的被逗号分隔的密码列表。缺省情况下，可以使用任何可用的密码。   algorithm  使用的X509算法。缺省为Sun的实现（SunX509）。对于IBM JVMS应该使用ibmX509。对于其它JVM，参考JVM文档取正确的值。   truststoreFile  用来验证客户证书的TrustStore文件。   truststorePass  访问TrustStore使用的密码。缺省值是keystorePass。   truststoreType  如果使用一个不同于正在使用的KeyStore的TrustStore格式，加入该属性。有效值是JKS和PKCS12。   使用 https://localhost:8443 就可以进行ssl连接的检测  ----------------------------------------------------------------------------------------  上诉的SSL连接是客户端单向认证服务器，如果双向认证，将server.xml文件的Connector配置  clientAuth="false"   Java服务器端的证书库，服务器认证客户端时使用的根证书库。  证书库位置：JAVA_HOME/jre/lib/security/cacerts keystore密码为:changeit  将客户端个人证书的根证书导入服务器的证书库，就可以认证客户端。  服务器端证书的生成：  >keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore  >keytool -certreq -alias tomcat -file Server.csr -keystore tomcat.keystore 生成证书请求文件  使用openssl命令用根证书签名,再导入签名证书  >keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore  注意-trustcacerts选项，使用服务器的证书库认证该证书，首先要将根证书导入cacerts中。  ----------------------------------------------------------------------------------------  Tomcat配置SSL，我出现的问题  我用openssl创建了CA证书，Server证书，Client证书。  使用keytool将Server证书导入tomcat.keystore文件中,将Tomcat的配置文件server.xml关于SSL的配置设为keystoreFile=tomcat.keystore.SSL连接时，客户端认证tomcat.keystore中的服务器证书。  将CA证书导入$JAVA_HOME\jre\lib\security\cacerts这个keystore中，用于验证客户端证书。  在IE中安装CA证书和Client证书(pkcs12,包含私钥的个人证书形式)。  建立SSL连接 https://localhost:8443 ,连接失败。  经过反复思量，知道问题所在，SSL连接时,客户端认证服务器时，需要验证服务器的签名，那么tomcat.keystore中就应该有Server的私钥。所以导入Server证书时，应该导入包含私钥的Server证书。 keytool命令不能导入私钥文件，可以通过在keystore中生成自签名证书，导出证书请求，用CA证书签名后，在导回的方法。  导回签名证书的过程  >keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore  注意-trustcacerts选项，使用服务器的证书库认证该证书，首先要将根证书导入Java的根证书库中:JAVA_HOME\jre\lib\security\cacerts中。  ----------------------------------------------------------------------------------------  分析IE实现实现SSL连接的中的证书双向认证过程  在地址栏中输入 https://localhost:8443 客户端向服务器发送hello消息，tomcat服务器侦听8443端口，收到SSL连接的hello消息，服务器发送server certificate，并且发送client certificate request.客户端IE收到server certificate后取出issuer项，和IE受信任的根证书库中证书的subject比对，找到合适的根证书认证server certificate。并且同时向服务器发送client certificate，服务器收到client certificate后，tomcat服务器查找根证书库cacerts中的根证书的suject，找到合适的根证书认证client certificate.在认证的同时完成密钥协商。客户端认证结束后，IE会弹出"安全警报"对话框，用户可以查看服务器证书，以及服务器证书是否受信任，可以选择是否继续SSL连接。