TOMCAT配置HTTPS生成单向证书问题

yorknong

第一步：为服务器生成证书
使用keytool 为 Tomcat 生成证书，假定目标机器的域名是“ localhost ”， keystore 文件存放在“ C:\tomcat.keystore ”，口令为“ password ”，使用如下命令生成：

keytool -genkey -v -alias tomcat -keyalg RSA -keysize 2048  -validity 3650  -keystore c:\tomcat.jks -dname "CN=221.133.237.236,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass alipay2POS -keypass alipay2POS


生成csr文件用于提交CA认证生成证书使用

keytool -certReq -alias tomcat  -keystore c:\tomcat.jks -file c:\mm.csr


这个tomcat.cer是为了解决不信任时要导入的

keytool -export -alias tomcat -keystore c:\tomcat.keystore -file c:\tomcat.cer -storepass password

查看jks

keytool -list -v -file c:\tomcat.jks
keytool -list -v -keystore keystore


第四步：配置Tomcat 服务器
打开Tomcat 根目录下的 /conf/server.xml ，找到如下配置段，修改如下：

1.<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"   
2.  
3.               maxThreads="150" scheme="https" secure="true"   
4.  
5.    clientAuth="false" sslProtocol="TLS"   
6.  
7.    keystoreFile="C:/tomcat.keystore" keystorePass="password" >   
特别需要注意的是:protocol里面的值.如果用http 1.1,那么https的链接就会打不开.这也是我后期订正的

应用程序的web.xml 可以加上这句话： 具体web系统
1.<login-config>   
2.  
3.<!-- Authorization setting for SSL -->   
4.  
5.<auth-method>CLIENT-CERT</auth-method>   
6.  
7.<realm-name>Client Cert Users-only Area</realm-name>   
8.  
9.</login-config>   
10.  
11.<security-constraint>   
12.  
13.<!-- Authorization setting for SSL -->   
14.  
15.<web-resource-collection >   
16.  
17.<web-resource-name >SSL</web-resource-name>   
18.  
19.<url-pattern>/*</url-pattern>   
20.  
21.</web-resource-collection>   
22.  
23.<user-data-constraint>   
24.  
25.<transport-guarantee>CONFIDENTIAL</transport-guarantee>   
26.  
27.</user-data-constraint>   
28.  
29.</security-constraint>   
到这里启动tomcat，输入 https://localhost:8443/
这时再打开会弹出一个提示框：证书不可信任，有一个警告，说什么需要机构颁发。
这时再双击第一步生成的tomcat.cer。一直下一步，最后选“是”。
导入后，再输入地址就不是提示了。直接转向tomcat的猫页，说明成功了。

这时候如果用程序去访问可能还会抛证书不信任的异常（sun.security.validator.ValidatorException: PKIX path building failed... ），需要将生成的证书(tomcat.cer )
导入到jdk中

keytool -import -alias tomcatsso -file "c:\tomcat.cer" -keystore "D:\java\jdk1.6.0_11\jre\lib\security\cacerts" -storepass changeit

其中changeit是jre默认的密码。
如果抛 No subject alternative names present 请在生成keystore 注意CN必须要为域名（或机器名称)例如 localhost 不能为IP
如果抛 No name matching localhost found 表示你生成keystore CN的名称和你访问的名称不一致