tomcat实现HTTPS访问和双向认证

本文只介绍设置流程，详细操作不再赘述。

     首先为服务器tomcat生成CA根证书，所谓根证书就是自己给自己签发的证书。使用keytool命令可生成所需证书。服务器证书保存在服务器的密钥库里。服务器的证书中CN的值必须是服务器站点的名称，或其IP地址，如果是本地做测试可设为CN=localhost,因为客户验证服务器证书是就是比对站点名称是否与CN名称相同。其他信息并不是很重要，可以随意填写（当然在实际应用中不能这么做）。

     之后为服务器导出证书，使用keytool -export命令即可，导出的文件为cer格式的。点击即可在本地浏览器上安装该证书，安装证书即意味着浏览器信任该服务器出具的证书。安装完成后，可在IE浏览器→工具→Inernet选项→内容→证书中查看证书信息。如果是异地测试则不必导出服务器证书，因为浏览器在访问tomcat时服务器会主动出示证书，浏览器会提醒用户是否信任并安装该证书。

     CA根证书一般被安装在“受信任的根证书颁发机构”一栏中，如果没有找到服务器的相关证书，可在安装证书时选择相应的安装位置。
      接下来应生成客户证书（信息随意填），必须换用一个密钥库，不要和服务器同用一个密钥库。一个密钥库可以生成很多证书，同时也可以保存很多别的密钥库生成的证书。生成客户证书后将其导出，再导入保存服务器证书的密钥库，注意对比它们之间类型的不同：客户证书类型是trustCertEntry，而服务器的证书类型为privatekeyentry。

下面配置tomcat，使其能使用相应的证书，进行SSL通信。

找到C:\Program Files\Apache Software Foundation\Tomcat 6.0\conf下的server.xml文件，打开找到相应代码段，取消注释，并做如下修改：

 

 <Connector

           port="443" maxThreads="200" maxProcessors="75"

           enableLookups="true" scheme="https" secure="true" SSLEnabled="true"

           clientAuth="ture" sslProtocol="TLS"

           keystoreFile="C:\server.keystore" keystorePass="123456"

           truststoreFile="C:\server.keystore" truststorePass="123456"

           />

ClientAuth为false时是单向认证（客户验证服务器），为ture时是双向认证。KeystoreFile指定服务器使用的密钥库，truststore指定服务器信任的密钥库。这里注意一点，KeystoreFile指定的密钥库中最好只有一个CA根证书，tomcat只会使用在密钥库第一个创建的证书来作为自己的服务器的证书，如果你再在服务器密钥库中生成一个CN=127.0.0.1的证书，客户访问服务器时，服务器仍出具的是localhost的证书（本质上localhost和127.0.0.1是一样的），这意味着服务器不会自动选择相应的证书出具给客户。

至此，准备工作完成。可以运行tomcat，用IE浏览器键入https://localhost:8443/来测试一下。

可以发现，浏览器可以通过HTTPS协议进行访问tomcat了。服务器已经自动验证了客户的身份，所以这里没有任何提示。可以在地址栏右边的按钮中查看该服务器证书。

在Tomcat 6中配置SSL双向认证是相当容易的，本文将介绍如何使用JDK的keytool来为Tomcat配置双向SSL认证。

系统需求：

JDK 5.0
Tomcat 6.0.16

第一步：为服务器生成证书

使用keytool为Tomcat生成证书，假定目标机器的域名是“localhost”，keystore文件存放在“C:\tomcat.keystore”，口令为“password”，使用如下命令生成：

 
如果Tomcat所在服务器的域名不是“localhost”，应改为对应的域名，如“www.sina.com.cn”，否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入“localhost”

第二步：为客户端生成证书

下一步是为浏览器生成证书，以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox，证书格式应该是PKCS12，因此，使用如下命令生成：

 
对应的证书库存放在“C:\my.p12”，客户端的CN可以是任意值。稍候，我们将把这个“my.p12”证书库导入到IE和Firefox中。

第三步：让服务器信任客户端证书

由于是双向SSL认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入，我们必须先把客户端证书导出为一个单独的CER文件，使用如下命令：

 
通过以上命令，客户端证书就被我们导出到“C:\my.cer”文件了。下一步，是将该文件导入到服务器的证书库，添加为一个信任证书：

 
通过list命令查看服务器的证书库，我们可以看到两个输入，一个是服务器证书，一个是受信任的客户端证书：

 
第四步：配置Tomcat服务器

打开Tomcat根目录下的/conf/server.xml，找到如下配置段，修改如下：




    maxThreads="150" scheme="https"secure="true"
    clientAuth="true" sslProtocol="TLS"
    keystoreFile="C:/tomcat.keystore" keystorePass="password"
    truststoreFile="C:/tomcat.keystore" truststorePass="password"
/>

其中，clientAuth指定是否需要验证客户端证书，如果该设置为“false”，则为单向SSL验证，SSL配置可到此结束。如果clientAuth设置为“true”，表示强制双向SSL验证，必须验证客户端证书。如果clientAuth设置为“want”，则表示可以验证客户端证书，但如果客户端没有有效证书，也不强制验证。

第五步：导入客户端证书

如果设置了clientAuth="true"，则需要强制验证客户端证书。双击“C:\my.p12”即可将证书导入至IE：

 
导入证书后，即可启动Tomcat，用IE进行访问。如果需要用FireFox访问，则需将证书导入至FireFox：

 

第六步：在测试页查看证书

1. 创建webapp用于测试https：
在$TOMCAT_HOME/webapps/里创建一个目录testhttps，并在testhttps目录里创建WEB-INF目录，

并在该目录里创建web.xml文件如下：
文件：$TOMCAT_HOME/webapps/WEB-INF/web.xml

http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
    version="2.4">
  Test HTTPS App

 
2. 创建一个显示客户端证书信息的JSP：
在testhttps目录创建文件seecert.jsp
文件：$TOMCAT_HOME/webapps/WEB-INF/seecert.jsp