转载:http://blog.sina.com.cn/s/blog_74a86d52010177v7.html
在Java环境中配置SSL双向认证
在Java环境中配置Https双向认证,需要使用JDK自带的keytool工具,在命令行方式下,生成服务器证书申请文CSR,然后到CA签发服务器证书。
以下为在Tomcat和Weblogic中配置Https双向认证的步骤,环境为JDK1.5。
Tomcat下keystore密码与服务器密钥密码必须一致。
1.在Tomcat中配置HTTPS双向认证
在Tomcat5.0中配置Https双向认证的步骤如下:
1.
keytool -genkey -alias tomcat -keyalg RSA -keystore keystore
此时可在当前目录下看到keystore文件。
申请服务器证书时,CN需要和网站的域名或者IP相同,否则IE7会认为该证书是为别的网站颁发的。
2.
keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore
此时可在当前目录下看到文件certreq.csr。
把certreq.csr文件内容和DN提交到CA管理员,即可申请到服务器证书。
DN为:CN=192.168.1.25, OU=research, O=cwca, L=YC, ST=NX,C=CN。
从CA获得的服务器证书为user.p7b,可从其中分别导出base64格式的根证和服务器证书:
NXCA.cer和client.cer。
3.
keytool -import -trustcacerts -alias root -file NXCA.cer -keystore keystore
4.
keytool -import -alias tomcat -file client.cer -keystore keystore
5.
修改文件%CATALINA_HOME%/conf/server.xml,知道 <Connector port="8443"这一行,默认是注释掉的;去掉注释,然后增加两行:
6. 启动Tomcat,输入https://192.168.1.25:8443/,即可访问应用;
Https默认端口为443,如果把监听端口改为443,则访问时就不需要加端口号了。
Tomcat5.0和Tomcat6.0的配置过程相同。
2.在Weblogic中配置HTTPS双向认证
1.
keytool -genkey -alias weblogic -keyalg RSA -keystore weblogic.jks
keytool -certreq -keyalg RSA -alias weblogic -file certreq.csr -keystore weblogic.jks
此时可在当前目录下看到文件certreq.csr。
把certreq.csr文件内容和DN提交到CA管理员,即可申请到服务器证书。
DN为:CN=192.168.1.25, OU=research, O=cwca, L=YC, ST=NX,C=CN。
从CA获得的服务器证书为user.p7b,可从其中分别导出base64格式的根证和服务器证书:
NXCA.cer和TESTSERVER.cer。
3.
keytool -import -alias testroot -trustcacerts -file NXCA.cer -keystore weblogic.jks
4.
keytool -import -trustcacerts -alias weblogic -file TESTSERVER.cer -keystore weblogic.jks
5.
B.选择:mydomain->Servers->myserver->General页面,找到属性:SSL Listen Port Enabled,
属性KeystoreConfiguration-> Identity中:
Custom Identity Keystore的值为:D:\bea\weblogic81\jks\weblogic.jks;
Type值为:jks;
输入两次Keystore密码;
属性KeystoreConfiguration-> Trust的属性值和Identity相同;
输入两次Keystore密码;
配置如下图:
3.在Websphere6.1中配置HTTPS双向认证
1.
keytool -genkey -alias server -keyalg RSA -keystore keystore
2.
keytool -certreq -keyalg RSA -alias server -file certreq.csr -keystore keystore
3.
keytool -import -trustcacerts -alias root -file NXCA.cer -keystore keystore
4.
keytool -import -alias tomcat -file client.cer -keystore keystore
5.
点击密钥库和证书,然后点击新建
新建密钥库和证书,
填入名称,keystore文件的路径,keystore文件的密码,类型选为jks