配置tomcat支持ssl


说明:

1.本例子是访问https://hk.lsd:8443时,解决出现安全证书提示的问题

wKiom1Mn6L2iQIG6AAEr4zUs5r0921.jpg

2.本例子是机器给自己颁发证书,没有在网上CA申请证书,但开发同事把域名跟证书绑定了。

3.网上CA申请证书的tomcatssl相关配置,见文档

http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html#Configuration

4.相关问题:

登录页采用https,其他页面使用http http://www.oschina.net/question/658145_64373


1.先安装apr

2.生成服务器端私钥:

keytool -genkey -alias tomcat -keyalg RSA -storetype pkcs12 -keystore /tmp/123.key(生成pkcs12类型的keystore,默认为jks类型)

3.修改server.xml

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
              maxThreads="150" scheme="https" secure="true"
              clientAuth="false" sslProtocol="TLS" keystoreFile="/tmp/123.key" keystorePass="123456" keystoreType="PKCS12"/>


4.访问

https://localhost:8443


Tips:


1.https网站交互中,客户端如何避免证书:

https网站交互中,客户端如何处理证书问题。

首先,在https网站交互中,客户端是没有自己的证书的。因为客户端并不需要标识自身(网银用户例外)。

客户端所需做的只是校验一下服务端的证书。 而校验别人的证书,跟CA有关系,具体来说就是通过CA发行的根证书来校验。所以客户端要持有CA的根证书。

浏览器软件里内置了大多数CA的根证书,所以浏览器用户不必去自己下载这些证书并导入。

但在编写C/S程序时,开发人员就要自己去搞CA证书了;在对安全要求不是非常严格的情况下,客户端程序可以简单地选择“总是相信服务端”的策略。


2.keytool常用命令

wKioL1Mn6vTStlBoAALedggnBGY119.jpg


你可能感兴趣的:(shell)