tomcat中配置https

如题,最近几天都在忙活这个事情。没办法甲方喜欢没事找事。个人觉得一般的系统就没太大必要用https了,用http足够了!关于tomcat里面配置https的资料很多,但是有些过于复杂,有些描述的不够详细,有些甚至漏掉了一些重要步骤。我在做tomcat中配置的https时候就走了很多弯路,为了备忘,也为了能对读者有一定的帮助,特整理环境。好了言归正传。

 

环境:

web服务器:tomcat6

jdk版本: jdk1.6

 

配置的过程不难,主要由几个步骤

第一步:生成服务器端证书
在命令行中执行

keytool -genkey  -v  -alias  tomcat1  -keyalg  RSA  -keystore d:/tomcat1.keystore

 

运行后要求输入密码等,要记住这里的密码,后续的配置中要用到。其他信息中你的名字和姓氏中填写主机名字,如localhost,两字母国家代码填cn。其他信息就随便写就可以了。

 填写完上述信息后要求tomcat1主密码,如果和keystore回车就可以。 

 

第二步:为客户端生成证书

为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成:

keytool -genkey  -v   -alias myKey   -keyalg   RSA  -storetype PKCS12   -keystore d:/my1.p12   -dname "cn=MyKey,ou=sango,o=none,l=china,st=beijing,c=cn"  -storepass 123456   -keypass 123456   -validity 3650

对应的证书库存放在“d:/my1.p12 ”,客户端的CN可以是任意值。

上述生成客户端客户端的命令中,有可能会失败,失败的提示信息为PKCS12  storing  not implement,如果发生这样的错误则应该到jdk安装环境下的bin目录中执行上述命令,如我执行的路径为E:\qinjk\jdk1.6\bin

 

第三步:让服务器信任客户端证书

 

 

keytool -export -alias myKey   -keystore d:/my1.p12  -storetype PKCS12 -rfc  -file d:/my1.cer

 

通过以上命令,客户端证书就被我们导出到“d:/my1.cer”文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:

keytool -import -v   -file d:/my1.cer  -keystore d:/tomcat1.keystore -storepass 123456

 

第四步:让客户端信任服务器证书

 这里说的信任就是先获得服务器证书,然后把证书导入到ie。这步仅仅描述如何生成证书,至于如何导入在下一步中提到。

 keytool -keystore d:/tomcat1.keystore -export -alias tomcat1 -file d:/tomcat1.cer

通过以上命令,服务器证书就被我们导出到“d:/tomcat1.cer”文件了

 

第五步:在浏览器中导入服务器和客户端证书。

双击第四步中tomcat1.cer的文件即可导入服务器证书。按照提示安装证书,将证书填入到“受信任的根证书颁发机构”。

 

双击第三步中my1.p12的文件即可导入服务器证书。按照提示安装证书,将证书填入到“个人”。

 

第六步:配置Tomcat服务器

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="true" sslProtocol="TLS"
    keystoreFile="d:/tomcat1.keystore" keystorePass="123456"
    truststoreFile="d:/tomcat1.keystore" truststorePass="123456"
/>

 

 

 到此整个配置过程结束,如在浏览器中输入https://localhost:8443能访问到tomcat的控制台则为配置成功。

 

 

扩展:

 

    为了能给服务器的keystore中添加多个客户端证书,在执行命令要使用别名,如果不使用别名,则在添加第二个客户端证书时候会出现java.lang.Exception  认证未输入,别名<mykey>已经存在 错误,也就是说不使用别名的话默认为mykey,而仅能存在一个名为mykey的实体,这点要非常留意!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值