tomcat对https的支持

89ou

　　     因为最近要使用tomcat的https功能，所以对tomcat的ssl简单研究了一下，心得记录如下，供大家参考，如有什么不对的地方欢迎大家留言指正。
　　    https分为单向认证和双向认证，单向认证就是说，只有客户端使用ssl时对服务器端的证书进行认证，也就是说，客户端在请求建立之前，服务器端会向客户端发送一个证书，一般情况下，这种证书都是由自己或企业自行发布的，所以在客户端使用https时，会跳出“是否信任并继续”，点击信任则表示客户端信任服务器端证书，才可以继续交互。而双向认证是服务器端和客户端都对双方的证书进行认证，这时除了单向认证外，还需要在服务器端的受信任证书列表中加入客户端的证书，这样服务器端才能信任客户端的请求。
　　1.单向认证配置：

•  首先使用keytool生成服务端密钥仓库，命令： keytool -genkey -keyalg RSA -alias tomcatsso -dname "CN=localhost" -keystore d:\tomcatsso.keystore -storepass changeit，命令参数-genkey表示是要生成新的密钥库，keyalg表示使用的密钥生成算法是RSA，alias表示别名，keystore表示生成的密钥库存储在什么地方，-storepass是表示密钥库的密码。该步骤生成了一个密钥库，该密钥库包含私钥和公钥等文件。
  
• 从第一步中生成的密钥库中导出证书（公钥），命令：keytool -export -alias tomcatsso -file d:\server.crt  -keystore d:\tomcatsso.keystore  -storepass changeit，export表示是要导出证书，file是表示导出证书的位置，keystore表示证书所在密钥库的位置。该步骤生成一个客户端使用的证书，该证书会被导入到受信任的证书库中。
  
• 把第二步导出的服务端证书导入服务端受信任的证书库，该命令表示服务器端信任该证书，命令：keytool -import -alias tomcatsso -file "d:/server.crt" -keystore "%java_home%/jre/lib/security/cacerts" -storepass changeit，这里的java_home是tomcat使用的jdk的位置，务必记得这一步一定要执行，因为我们自己生成的证书是不受信任的证书，如果没有这一步，在https客户端返回使用公钥及临时密钥时，服务器端无法验证通过，就是因为没有把该证书加入到受信任的证书库中。当然这是一种方法，还可以通过配置tomcat的server.xml文件中的truststoreFile="D:/SSL certificate/server.truststore" truststorePass="changeit"
  ，这里面的受信任库也是通过类似于第一步的keytool -genkey命令生成的，通过keytool -import命令把受信任的证书导入到库中。
  
• 开启tomcat对ssl的支持，具体方法是去掉 <Connector port="8443"...>这一段的注释，并在本段的末尾加上keystoreFile="d:\tomcatsso.keystore" keystorePass="changeit"这两个属性，这两个属性会告诉tomcat去哪儿寻找服务器端密钥库。
  
• 重启tomcat，至此tomcat对https的修改完成。
  

　　2.双向认证配置：

• 把tomcat中的server.xml文件中的clientAuth的值改为true，表示启用对客户端的认证。
  
• 为服务器端生成证书，生成方法参考单向认证中的第一步。
  
• 为客户端（即IE或firefox）生成证书，以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox，证书格式应该是PKCS12，即生成证书的时候storetype是PKCS12。并且使用keytool -export 导出证书。
  
• 把以上两个证书都加入受信任的证书库，同单向认证中的第三步。
  
• 开启tomcat对ssl的支持，具体方法是去掉 <Connector port="8443"...>这一段的注释，并在本段的末尾加上keystoreFile="d:\tomcatsso.keystore" keystorePass="changeit"这两个属性，这两个属性会告诉tomcat去哪儿寻找服务器端密钥库。
  
• 重启tomcat，至此tomcat对https的修改完成。
  

　　以上是个人的简单理解，如有什么问题，欢迎大家拍砖指正。