如题,最近几天都在忙活这个事情。没办法甲方喜欢没事找事。个人觉得一般的系统就没太大必要用https了,用http足够了!关于tomcat里面配置https的资料很多,但是有些过于复杂,有些描述的不够详细,有些甚至漏掉了一些重要步骤。我在做tomcat中配置的https时候就走了很多弯路,为了备忘,也为了能对读者有一定的帮助,特整理环境。好了言归正传。
环境:
web服务器:tomcat6
jdk版本: jdk1.6
配置的过程不难,主要由几个步骤
第一步:生成服务器端证书
在命令行中执行
keytool -genkey -v -alias tomcat1 -keyalg RSA -keystore d:/tomcat1.keystore
运行后要求输入密码等,要记住这里的密码,后续的配置中要用到。其他信息中你的名字和姓氏中填写主机名字,如localhost,两字母国家代码填cn。其他信息就随便写就可以了。
填写完上述信息后要求tomcat1主密码,如果和keystore回车就可以。
第二步:为客户端生成证书
为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成:
keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12 -keystore d:/my1.p12 -dname "cn=MyKey,ou=sango,o=none,l=china,st=beijing,c=cn" -storepass 123456 -keypass 123456 -validity 3650
对应的证书库存放在“d:/my1.p12 ”,客户端的CN可以是任意值。
上述生成客户端客户端的命令中,有可能会失败,失败的提示信息为PKCS12 storing not implement,如果发生这样的错误则应该到jdk安装环境下的bin目录中执行上述命令,如我执行的路径为E:\qinjk\jdk1.6\bin
第三步:让服务器信任客户端证书
keytool -export -alias myKey -keystore d:/my1.p12 -storetype PKCS12 -rfc -file d:/my1.cer
通过以上命令,客户端证书就被我们导出到“d:/my1.cer”文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:
keytool -import -v -file d:/my1.cer -keystore d:/tomcat1.keystore -storepass 123456
第四步:让客户端信任服务器证书
这里说的信任就是先获得服务器证书,然后把证书导入到ie。这步仅仅描述如何生成证书,至于如何导入在下一步中提到。
keytool -keystore d:/tomcat1.keystore -export -alias tomcat1 -file d:/tomcat1.cer
通过以上命令,服务器证书就被我们导出到“d:/tomcat1.cer”文件了
第五步:在浏览器中导入服务器和客户端证书。
双击第四步中tomcat1.cer的文件即可导入服务器证书。按照提示安装证书,将证书填入到“受信任的根证书颁发机构”。
双击第三步中my1.p12的文件即可导入服务器证书。按照提示安装证书,将证书填入到“个人”。
第六步:配置Tomcat服务器
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="d:/tomcat1.keystore" keystorePass="123456"
truststoreFile="d:/tomcat1.keystore" truststorePass="123456"
/>
到此整个配置过程结束,如在浏览器中输入https://localhost:8443能访问到tomcat的控制台则为配置成功。
扩展:
为了能给服务器的keystore中添加多个客户端证书,在执行命令要使用别名,如果不使用别名,则在添加第二个客户端证书时候会出现java.lang.Exception 认证未输入,别名<mykey>已经存在 错误,也就是说不使用别名的话默认为mykey,而仅能存在一个名为mykey的实体,这点要非常留意!