tomcat服务器配置把Http协议强制转化为Https

tomcat服务器配置把Http协议强制转化为Https分为两种情况：

1.单向认证，就是传输的数据加密过了，但是不会校验客户端的来源 

2.双向认证，要求客户端浏览器没有导入客户端证书，是访问不了web系统的，找不到地址，双向认证的安全级别较高

如果只是加密，我感觉单向就行了。 

如果想要用系统的人没有证书就访问不了系统的话，就采用双向 

首先在创建指定目录在存放tomcat证书，我这里是单独创建了一个D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security

执行命令 D: 和 cd apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security进入该目录

一、单向配置： 

第一步：为服务器生成证书 

使用keytool 为 Tomcat 生成证书，假定目标机器的域名是“ localhost ”， keystore 文件存放在“ D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore ”，口令为“ password ”，使用如下命令生成： 

keytool -genkey -v -alias tomcat -keyalg RSA   -validity 3650  -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password 

这个tomcat.cer是为了解决不信任时要导入的 

keytool -export -alias tomcat -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore -file D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.cer -storepass password 

第二步：配置Tomcat 服务器 

打开Tomcat 根目录下的 /conf/server.xml ，找到如下配置段，修改如下： 

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 

   keystoreFile="D:/apache-tomcat-8.0.30-windows-x64/apache-tomcat-8.0.30/security/tomcat.keystore" keystorePass="password" />

第三步：配置具体的web应用的web.xml中的</welcome-file-list>后面加上这样一段

应用程序的web.xml 可以加上这句话： 具体web系统 

<!-- Authorization setting for SSL --> 

<login-config> 

<auth-method>CLIENT-CERT</auth-method> 

<realm-name>Client Cert Users-only Area</realm-name> 

</login-config> 

<security-constraint> 

<!-- Authorization setting for SSL --> 

<web-resource-collection > 

<web-resource-name >SSL</web-resource-name> 

<url-pattern>/*</url-pattern> 

</web-resource-collection> 

<user-data-constraint> 

<transport-guarantee>CONFIDENTIAL</transport-guarantee> 

</user-data-constraint> 

</security-constraint> 

到这里启动tomcat

在intelliJ idea中的tomcat配置本地服务器启动的后弹窗的路径https://localhost:8443/SSMWork/web/findDemands.html

浏览器弹出如下页面，

至此可以正常运行，单项配置成功

二、双向配置： 

第一步：为服务器生成证书 

使用keytool 为 Tomcat 生成证书，假定目标机器的域名是“ localhost ”， keystore 文件存放在“ D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore ”，口令为“ password ”，使用如下命令生成： 

keytool -genkey -v -alias tomcat -keyalg RSA   -validity 3650  -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password 

这个tomcat.cer是为了解决不信任时要导入的 

keytool -export -alias tomcat -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore -file D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.cer -storepass password 

第二步：为客户端生成证书 
首先为浏览器的证书创建一个存放的目录D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security
下一步是为浏览器生成证书，以便让服务器来验证它。为了能将证书顺利导入至IE 和 Firefox ，证书格式应该是 PKCS12 ，因此，使用如下命令生成： 

keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12   -validity 3650  -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\my.p12 -dname "CN=MyKey,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password 

第三步：让服务器信任客户端证书 

由于是双向SSL 认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任认证。由于不能直接将 PKCS12 格式的证书库导入，我们必须先把客户端证书导出为一个单独的 CER 文件，使用如下命令：

keytool -export -alias myKey -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\my.p12 -storetype PKCS12 -storepass password -rfc -file D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\my.cer 

通过以上命令，客户端证书就被我们导出到“D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\my.cer ”文件了。下一步，是将该文件导入到服务器的证书库，添加为一个信任证书： 

keytool -import -v -file D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\my.cer -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore -storepass password 

通过list 命令查看服务器的证书库，我们可以看到两个输入，一个是服务器证书，一个是受信任的客户端证书： 

keytool -list -keystore D:\apache-tomcat-8.0.30-windows-x64\apache-tomcat-8.0.30\security\tomcat.keystore -storepass password 

第四步：配置Tomcat 服务器 

打开Tomcat 根目录下的 /conf/server.xml ，找到如下配置段，修改如下：

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 


               maxThreads="150" scheme="https" secure="true" 


    clientAuth="true" sslProtocol="TLS" 


    keystoreFile="D:/apache-tomcat-8.0.30-windows-x64/apache-tomcat-8.0.30/browserCertify/tomcat.keystore" keystorePass="password" 

truststoreFile="D:/apache-tomcat-8.0.30-windows-x64/apache-tomcat-8.0.30/browserCertify/tomcat.keystore" truststorePass="password"/> 

第五步：应用程序的web.xml 可以加上这句话： 具体web系统 

到这里启动tomcat，输入 https://localhost:8443/，是访问不了的：原因客户端证书没有导入浏览器 
双击 “C:\my.p12” 即可将证书导入至 IE ：输入创建时候的密码，password 

这时再打开会弹出一个提示框：证书不可信任，有一个警告，说什么需要机构颁发。 
这时再双击第一步生成的tomcat.cer。一直下一步，最后选“是”。 

导入后，再输入地址就不是提示了。直接转向tomcat的猫页，说明成功了。