Tomcat配置SSL连接

hyperv

　　1.服务器端单项认证
　　在Tomcat的server.xml文件中，已经提供了现成的配置SSL连接器的代码，只要把元素的注释去掉即可：
　　  
　　
　　实际上，基于SSL的HTTPS使用的默认端口是443。但Tomcat在这里将HTTPS端口设置为8443。配置里的一些属性参数如下表：
　　clientAuth如果设为true（即双向认证）
　　keystoreFile指定keystore文件的存放位置
　　keystorePass指定keystore的密码
　　2.服务器和客户端双向认证
　　Server需要：
　　1）KeyStore: 其中保存服务端的私钥
　　2）Trust KeyStore:其中保存客户端的授权证书
　　同样，Client需要：
　　1）KeyStore：其中保存客户端的私钥
　　2）Trust KeyStore：其中保存服务端的授权证书
　　
　　生成key和证书
　　1）生成服务端私钥，并且导入到服务端KeyStore文件中
　　keytool -genkey -alias serverkey -keystore serverKey.keystore
　　2）根据私钥，导出服务端证书
　　keytool -export -alias serverkey -keystore serverKey.keystore -file server.crt
　　server.crt就是服务端的证书
　　3）将服务端证书，导入到客户端的Trust KeyStore中
　　keytool -import -alias serverkey -file server.crt -keystore serverCrt.keystore
　　tclient.keystore是给客户端用的，其中保存着受信任的证书
　　
　　采用同样的方法，生成客户端的私钥，客户端的证书，并且导入到服务端的Trust KeyStore中
　　1）keytool -genkey -alias clientkey -keystore clientKey.keystore
　　2）keytool -export -alias clientkey -keystore clientKey.keystore -file client.crt
　　3）keytool -import -alias clientkey -file client.crt -keystore clientCrt.keystore
　　
　　如此一来，生成的文件分成两组
　　服务端保存：serverKey.keystore clientCrt.keystore
　　客户端保存：clientKey.keystore serverCrt.kyestore
　　client采用clientKey.keystore中的clientkey私钥进行数据加密，发送给server
　　server采用clientCrt.keystore中的client.crt证书（包含了clientkey的公钥）对数据解密，如果解密成功，证明消息来自client，进行逻辑处理
　　server采用serverKey.keystore中的serverkey私钥进行数据叫米，发送给client
　　client采用serverCrt.kyestore中的server.crt证书（包含了serverkey的公钥）对数据解密，如果解密成功，证明消息来自server，进行逻辑处理
　　如果过程中，解密失败，那么证明消息来源错误。不进行逻辑处理。这样就完成了双向的身份认证。
　　tomcat配置：
　　
　　truststoreFile指定truststore(受信任的客户端证书库)文件的存放位置
　　truststorePass指定truststore（受信任的客户端证书库）的密码

• 对单个WEB项目使用默认SSL安全访问
  

　　要使你自己的WEB程序应用SSL安全访问，请遵循如下配置
　　在你应用的 web.xml 文件的  中加入如下配置
　　
　　
　　CLIENT-CERT
　　Client Cert Users-only Area
　　
　　
　　
　　
　　SSL
　　/*
　　
　　
　　CONFIDENTIAL
　　
　　
　　
　　你会发现，即使使用 http://....:8080 来访问你的应用程序，它也会重定向为 https://....8443 访问，也就是说，你的应用已经强制使用SSL安全访问层。