Tomcat实现https配置

lihu129c

配置环境：XP ，Tomcat 5.5，jdk1.5.0_09，IE6.0

HTTPS
    它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不详HTTP那样使用端口80来和TCP/IP进行通讯。）SSL使用40位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X..509数字认证，如果需要的话用户可以确认发送者是谁。

tomcat实现SSL配置
编辑tomcat的配置文件server.xml，去掉下面SSL Connector的注释,修改为如下：
<!-- Define an SSL HTTP/1.1 Connector on port 8443 -->;
    <Connector  port="8443" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"                  clientAuth="false" sslProtocol="TLS"
keystoreFile="D:/Java/Tomcat5.5/conf/tomcatKey.keystore"  keystorePass="ke的密" algorithm="SunX509" />

Connectior属性简介

属性            描述

port
这个port属性(默认值是8443)是 TCP/IP端口数码，Tomcat在其上监听安全连接。你可以把它更改成任何你愿意要的数值(如默认的https通信，数目是443)。不过，在许多操作系统中，要想在比1024小的端口数码上运行Tomcat，需要特殊的设置(它超出了这个文档资料的范围)。

redirectPort
如果你在这里更改端口数值，你还必须更改在non-SSL连接器上的redirectPort 这个属性特定的值。这允许Tomcat自动地redirect那些试图访问有安全限制页面的用户，指明根据 Servlet 2.4 Specification要求，SSL是必需的

clientAuth
如果你想要Tomcat要求所有的SSL客户在使用这个socket时出示用户认证书，把这个值设定为 true 。如果你想要Tomcat要求出示用户认证书，但是如果没有认证书也可以， 就把这个值设定为want 。

keystoreFile
如果你产生的keystore文件不在Tomcat期望的默认地方(一个叫做.keystore 的文件在Tomcat运行的主目录)，就添加这个属性。你可以指定一个绝对路径名称， 或者一个由$CATALINA_BASE环境变量而派生的相对路径名称。

keystorePass
如果你使用一个不同的keystore(以及认证书)密码，而不是Tomcat期望的密码 (就是changeit)，添加这个元素。

keystoreType
如果使用一个PKCS12 keystore的话，就添加这个element。 有效的值是JKS 和 PKCS12

sslProtocol
要在这个socket上被使用的加密／解密协定。如果你在使用Sun的JVM，我们不提倡更改 这个值。据报道，TLS协定的IBM's 1.4.1 实现与一些通用的浏览器不兼容。 如果是这样，就使用value SSL

ciphers
这个socket允许使用的由逗号分隔开的加密密码列单。默认的情况下，任何可用的密码都允许被使用。

algorithm
可用的X509算法。默认是Sun的实现( SunX509 )。 对于IBM JVMs，你应该使用值 IbmX509。对于其他卖主，查阅JVM文档资料来 找正确的值。

truststoreFile
用来验证用户认证书的TrustStore文件。

truststorePass
访问TrustStore的密码。默认值就是keystorePass的值。

truststoreType
如果你在使用与KeyStore不同格式的TrustStore，添加这个元素。 合法的值是JKS和PKCS12

keyAlias
如果 keystore 里面有多个 key，你可以为用这个选项为加入的 key 起一个名字。 如果没有指定名字，使用时 keystore 内的第一个 key 将会被使用。

1:生成ca key
keytool -genkey -alias tomcat -keyalg RSA –keysize 1024 –validity 730 -keystore D:\Test.keystore


生成.keystore文件在 用户目录下
输入keystore密码： ************
您的名字与姓氏是什么？
[Unknown]： wiiln dee
您的组织单位名称是什么？
[Unknown]： sanxin
您的组织名称是什么？
[Unknown]： sanxin
您所在的城市或区域名称是什么？
[Unknown]： shenzhen
您所在的州或省份名称是什么？
[Unknown]： guangdong
该单位的两字母国家代码是什么
[Unknown]： CN
CN=www.zm.cn, OU= sanxin, O= sanxin, L=chengdou, ST=sichuan, C=CN 正确吗？
[否]： Y

输入tomcat主密码
（如果和 keystore 密码相同，按回车）：*************

重启tomcat，输入: https://localhost:8443
fine!

切记：不要用Eclipse的tomcat插件去启动tomcat，我就是在这个问题上弄了半天！当然可以去配置Eclipse的插件也没问题。