目录
1.生成安全证书
使用sun公司提供的工具keytool制作自签证书,JDK版本为1.8。打开cmd命令行,使用如下命令创建密钥库和密钥条目:
keytool -genkey -v -alias localhost -keyalg RSA -keystore E:\CAS\keystore\localhost.keystore -storetype pkcs12 -validity 36500
输入密钥库口令:
再次输入新口令:
您的名字与姓氏是什么?
[Unknown]: localhost
您的组织单位名称是什么?
[Unknown]: tydk
您的组织名称是什么?
[Unknown]: tydk
您所在的城市或区域名称是什么?
[Unknown]: bj
您所在的省/市/自治区名称是什么?
[Unknown]: bj
该单位的双字母国家/地区代码是什么?
[Unknown]: cn
CN=www.bo.org, OU=tydk, O=tydk, L=bj, ST=bj, C=cn是否正确?
[否]: y
参数说明:
-genkeypair:生成一对非对称密钥并将公钥包装到X.509 v3自签名证书中;
-alias:指定密钥条目的别名,该别名是公开的(注意:此名需跟下面的名字跟姓氏名一致);
-keyalg:指定加密算法,本例中的采用通用的RSA加密算法;
-keystore:指定密钥库的路径及名称,若密钥库不存在则创建。若不指定则默认在操作系统的用户目录下生成一个".keystore"的文件;
-storetype:指定密钥库的类型,如果不指定,默认是JKS。如果创建默认类型密钥库,命令行会提示转化为pkcs12类型,所以这里在创建时指定;
-validity:密钥有效期(单位:天)
*密钥库密码必须6个字符,可以是纯数字或者字母或者数字和字母的组合等
2.配置tomcat服务器
打开"<tomcat安装目录>\conf\server.xml"配置文件,找到如下注释的代码行(本例为tomcat 8):
<!--
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
-->
去掉注释并改为如下配置:
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="E:\CAS\keystore\localhost.keystore"
keystorePass="123456" />
其中keystoreFile填写之前用keytool生成的密钥库的文件路径,keystorePass填写密钥库口令。注意,如果protocol="HTTP/1.1",需要将其替换为 protocol="org.apache.coyote.http11.Http11Protocol"
http协议的默认端口是80,https的默认端口是443,这里将端口改为了443,访问https时可不用加端口号。
3.启动tomcat
启动tomcat,因为域名配置的是localhost,谷歌浏览器访问localhost:
4.配置http自动跳转https
打开"tomcat/conf/web.xml",在该文件末尾处</welcome-file-list>标签后面加如下配置:
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
非ssl的connector跳转到ssl的connector,在server.xml配置,将redirectPort改为ssl的connector的端口443:
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443" />
<Connector port="8009" protocol="AJP/1.3" redirectPort="443" />
配置结束后,重启tomcat。