Tomcat6.0 配置SSL

参考：http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html

http://docs.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html

 

 

java keytool 安全证书

Keytool是一个Java数据证书的管理工具。 

 

keystore 

Keytool将密钥（key）和证书（certificates）存在一个称为keystore的文件中

在keystore里，包含两种数据： 

密钥实体（Key entity）——密钥（secret key）又或者是私钥和配对公钥（采用非对称加密） 

可信任的证书实体（trusted certificate entries）——只包含公钥 

 

Alias（别名） 

每个keystore都关联这一个独一无二的alias，这个alias通常不区分大小写 

 

keystore的存储位置 

在没有制定生成位置的情况下，keystore会存在与用户的系统默认目录， 

如：对于window xp系统，会生成在系统的C:\Documents and Settings\UserName\ 

文件名为“.keystore” 

 

keystore的生成

 

引用

keytool -genkey -alias tomcat -keyalg RSA   -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 180

 

参数说明： 

-genkey表示要创建一个新的密钥 

-dname表示密钥的Distinguished Names， 

CN=commonName 

OU=organizationUnit 

O=organizationName 

L=localityName 

S=stateName 

C=country 

Distinguished Names表明了密钥的发行者身份 

-keyalg使用加密的算法，这里是RSA 

-alias密钥的别名 

-keypass私有密钥的密码，这里设置为changeit

-keystore 密钥保存在D:盘目录下的mykeystore文件中 

-storepass 存取密码，这里设置为changeit，这个密码提供系统从mykeystore文件中将信息取出 

-validity该密钥的有效期为 180天 (默认为90天)

 

cacerts证书文件(The cacerts Certificates File) 

改证书文件存在于java.home\lib\security目录下，是Java系统的CA证书仓库 

 

创建证书

1.服务器中生成证书：(注：生成证书时，CN要和服务器的域名相同，如果在本地测试，则使用localhost)

keytool -genkey -alias tomcat -keyalg RSA -keystore d:\mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit

2.导出证书，由客户端安装：

keytool -export -alias tomcat -keystore d:\mykeystore -file d:\mycerts.cer -storepass changeit

3.客户端配置：为客户端的JVM导入密钥(将服务器下发的证书导入到JVM中)

keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -file d:\mycerts.cer -storepass changeit

生成的证书可以交付客户端用户使用，用以进行SSL通讯，或者伴随电子签名的jar包进行发布者的身份认证。

 

 

keytool生成证书：

 

验证是否已创建过同名的证书

keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit

删除已创建的证书

keytool -delete -alias tomcat -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -storepass changeit

 

生成 server key ：

以命令行方式cmd，在command命令行输入如下命令（jdk1.4以上带的工具）： 

keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600

用户名输入域名，如localhost（开发或测试用）或hostname.domainname(用户拥有的域名)，其它全部以 enter 跳过，最后确认，此时会在当前目录下生成server.keystore 文件。

注：参数 -validity 指证书的有效期(天)，缺省有效期很短，只有90天。

 

将证书导入的JDK的证书信任库中:

这步对于Tomcat的SSL配置不是必须，但对于CAS SSO是必须的，否则会出现如下错误：edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate ProxyTicketValidator。。。

导入过程分2步，第一步是导出证书，第二步是导入到证书信任库，命令如下：

keytool -export -trustcacerts -alias tomcat -file server.cer -keystore  server.keystore -storepass changeit

keytool -import -trustcacerts -alias tomcat -file server.cer -keystore  %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit

如果有提示，输入Y就可以了。

keytool生成根证书时出现如下错误：

keytool错误:java.io.IOException:keystore was tampered with,or password was incorrect

原因是在你的home目录下是否还有.keystore存在。如果存在那么把他删除掉，后再执行，或者删除"%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS 再执行

 

 

 

 

配置tomcat打开server.xml

 

取消注释或添加

<Connector port="8443"  className="org.apache.coyote.http11.Http11Protocol" 

               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

               enableLookups="true" disableUploadTimeout="true"

               acceptCount="100" scheme="https" secure="true"

      SSLEnabled="true" clientAuth="false"

               keystoreFile="c:/server.keystore" keystorePass="changeit"

      truststoreFile="${user.home}/server.keystore" truststorePass="changeit"               sslProtocol="TLS" truststoreFile=" ${JAVA_HOME} /jre/lib/security/cacerts"/>

这样就可以通过 https://localhost:8443  访问了.

如果出现严重: Error initializing endpoint java.lang.Exception: No Certificate file specified or invalid file format

把tomcat下的bin目录下的tcnative-1.dll删掉，重启一下服务器，就可以访问了