为jetty配置SSL

sanhutrees

How to configure SSL
http://docs.codehaus.org/display/JETTY/How+to+configure+SSL#HowtoconfigureSSL-step3

http://www.family168.com/oa/springsecurity/html/ch103-cas.html#d0e1288


13.4. 为cas配置SSL
在使用cas的时候，我们要为cas中央认证服务器和子系统都配置上SSL，以此来对他们之间交互的数据进行加密。这里我们将使用JDK中包含的keytool工具生成配置SSL所需的密钥。

13.4.1. 生成密钥
首先生成一个key store。

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=family168,o=www.family168.com,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password
            
我们会得到一个名为server.jks的文件，它的密码是password，注意cn=localhost部分，这里必须与cas服务器的域名一致，而且不能使用ip，因为我们是在本地localhost测试cas，所以这里设置的就是cn=localhost，在实际生产环境中使用时，要将这里配置为cas服务器的实际域名。

导出密钥

keytool -export -trustcacerts -alias server -file server.cer -keystore  server.jks -storepass password
            
将密钥导入JDK的cacerts

keytool -import -trustcacerts -alias server -file server.cer -keystore  D:/apps/jdk1.5.0_15/jre/lib/security/cacerts -storepass password
            
这里需要把使用实际JDK的安装路径，我们要把密钥导入到JDK的cacerts中。

我们在ch103/certificates/下放了一个genkey.bat，这个批处理文件中已经包含了上述的所有命令，运行它就可以生成我们所需的密钥。



13.4.2. 为jetty配置SSL
jetty的配置可参考ch103中的pom.xml文件。

  <connectors>
    <connector implementation="org.mortbay.jetty.security.SslSocketConnector">
      <port>9443</port>
      <keystore>../certificates/server.jks</keystore>
      <password>password</password>
      <keyPassword>password</keyPassword>
      <truststore>../certificates/server.jks</truststore>
      <trustPassword>password</trustPassword>
      <wantClientAuth>true</wantClientAuth>
      <needClientAuth>false</needClientAuth>
    </connector>
  </connectors>
  <systemProperties>
    <systemProperty>
      <name>javax.net.ssl.trustStore</name>
      <value>../certificates/server.jks</value>
    </systemProperty>
    <systemProperty>
      <name>javax.net.ssl.trustStorePassword</name>
      <value>password</value>
    </systemProperty>
  </systemProperties>
            
13.4.3. 为tomcat配置SSL
要运行支持SSL的tomcat，把server.jks文件放到tomcat的conf目录下，然后把下面的连接器添加到server.xml文件中。

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" scheme="https" secure="true"
            clientAuth="true" sslProtocol="TLS"
            keystoreFile="${catalina.home}/conf/server.jks"
            keystoreType="JKS" keystorePass="password"
            truststoreFile="${catalina.home}/conf/server.jks"
            truststoreType="JKS" truststorePass="password"
/>
            
如果你希望客户端没有提供证书的时候SSL链接也能成功，也可以把clientAuth设置成want。

实例在ch103。