用Tomcat来配置SSL主要有下面这么两大步骤:
一、生成证书
1、 在命令行下执行: %Java_home%\bin\keytool -genkey -alias tomcat -keyalg RSA 在此命令中,keytool是JDK自带的产生证书的工具。把RSA运算法则作为主要安全运算法则,这保证了与其它服务器和组件的兼容性。 这个命令会在用户的home directory产生一个叫做" .keystore " 的新文件。在执行后,你首先被要求出示keystore密码。Tomcat使用的默认密码是" changeit "(全都是小写字母),如果你愿意,你可以指定你自己的密码。你还需要在server.xml配置文件里指定自己的密码,这在以后会有描述。
2、 你会被要求出示关于这个认证书的一般性信息,如公司,联系人名称,等等。这些信息会显示给那些试图访问你程序里安全网页的用户,以确保这里提供的信息与他 们期望的相对应。
3、 你会被要求出示密钥(key)密码,也就是这个认证书所特有的密码(与其它的储存在同一个keystore文件里的认证书不同)。你必须在这里使用与 keystore密码相同的密码。(目前,keytool会提示你按ENTER键会自动帮你做这些)。 如果一切顺利,你现在就拥有了一个可以被你的服务器使用的有认证书的keystore文件。
二、配置tomcat
第二个大步骤是把secure socket配置在$CATALINA_HOME/conf/server.xml文件里。
$CATALINA_HOME代表安装Tomcat的目录。
一 个例子是SSL连接器的<Connector>元素被包括在和Tomcat一起安装的缺省server.xml文件里。
它看起来象是这样:
$CATALINA_HOME/conf/server.xml <-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
<!-- <Connector port="843" minProcessors="5" maxProcessors="75" enableLookups="true" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true"; clientAuth="false" sslProtocol="TLS"/> --> Connector元素本身,其默认形式是被注释掉的(commented out),所以需要把它周围的注释标志删除掉。
然后,可以根据需要客户化(自己设置)特定的属性。一般需要增加一下keystoreFile和 keystorePass两个属性,指定你存放证书的路径(如:keystoreFile="C:/.keystore")和刚才设置的密码(如: keystorePass="123456")。关于其它各种选项的详细信息,可查阅Server Configuration Reference。 在完成这些配置更改后,必须象重新启动Tomcat,然后你就可以通过SSL访问Tomcat支持的任何web应用程序。只不过指令需要像下面这样: https://localhost
5381
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
