MangoCool

win7环境下Tomcat的SSL配置

2015-04-04 14:40:15   作者:MangoCool   来源:MangoCool
获得安全证书有两种方式:一种方式是到权威机构购买,还有一种方式是创建自我签名的证书。这里就介绍第二种获取证书的方式,毕竟免费!SUN公司提供了制作证书的工具keytool。在JDK 1.4以后的版本中都包含了这一工具,它的位置为<JAVA_HOME>\bin\keytool.exe。
此外,也可以到SUN的网站上下载,下载地址如下:http://java.sun.com/j2se/1.5.0/docs/tooldocs/#security

1、通过keytool工具创建证书的命令为:
keytool -genkeypair -alias tomcat -keyalg RSA
以上命令将生产一对非对称密钥和自我签名的证书,这个命令中几个参数的意思如下:
    -genkeypair:生成一对非对称密钥。
    -alias:指定密钥对的别名,该别名是公开的。
    -keyalg:指定加密算法,本例中的采用通用的RAS加密算法
首先会提示输入keystore的密码,这里我输入的密码是888888。然后提示输入个人信息,如姓名、组织单位和所在城市等,只要输入真实信息即可。接着会提示输入信息是否正确,输入“y”表示信息正确,如果提示是中文则输入“是”。最后要求输入<Tomcat>的主密码,这里设置与keystore相同的密码,因此只需根据提示按回车键即可。
如图:

这样就在用户的主目录下创建了一个 .keystore 文件,比如我的就在C:\Users\sToa下。


2、配置 Tomcat 的server.xml文件以使用 .keystore 文件:打开 server.xml 找到下面被注释的这段
<!--
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />
    -->
将下面这段粘贴到其下面
    <Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
    disableUploadTimeout="true" enableLookups="false" maxThreads="25"
    port="443" keystoreFile="C:/Users/sToa/.keystore" keystorePass="88888888"
    protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https"
    secure="true" sslProtocol="TLS" />

3、 测试
启动 Tomcat 并访问 https://localhost:8443. 你将看到 Tomcat 默认的首页。需要注意的是,如果你访问默认的 8080 端口,还是有效的。这样你的SSL就算配置好了。

4、应用到你的项目上去
打开你项目的web.xml文件,增加配置如下:
  <security-constraint>
    <web-resource-collection>
        <web-resource-name>securedapp</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
将 URL 映射设为 /* ,这样你的整个应用都要求是 HTTPS 访问,而 transport-guarantee 标签设置为 CONFIDENTIAL 以便使应用支持 SSL。如果你希望关闭 SSL ,只需要将 CONFIDENTIAL 改为 NONE 即可。

补充:基于SSL的HTTPS使用的默认端口是443。但Tomcat在这里将HTTPS端口设置为8443。<Connector>配置里的一些属性参数如下表:

属性 描述
clientAuth
如果设为true,表示Tomcat要求所有的SSL客户出示安全证书,对SSL客户进行身份验证
keystoreFile
指定keystore文件的存放位置,可以指定绝对路径,也可以指定相对于<CATALINA_HOME> (Tomcat安装目录)环境变量的相对路径。如果此项没有设定,默认情况下,Tomcat将从当前操作系统用户的用户目录下读取名为 “.keystore”的文件。
keystorePass
指定keystore的密码,如果此项没有设定,在默认情况下,Tomcat将使用“changeit”作为默认密码。
sslProtocol
指定套接字(Socket)使用的加密/解密协议,默认值为TLS,用户不应该修改这个默认值。
ciphers
指定套接字可用的用于加密的密码清单,多个密码间以逗号(,)分隔。如果此项没有设定,在默认情况下,套接字可以使用任意一个可用的密码。







官方文档:http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html

参考文章:http://www.cnblogs.com/codewater/articles/2182826.html

                 http://www.oschina.net/question/12_23148

标签: Tomcat7 SSL JDK7 win7 https

分享:

上一篇浅谈Spring3.0的AOP原理及实现

下一篇postgresSQL procedure最简单的学习示例

关于我

崇尚极简,热爱技术,喜欢唱歌,热衷旅行,爱好电子产品的一介码农。

座右铭

当你的才华还撑不起你的野心的时候,你就应该静下心来学习,永不止步!

人生之旅历途甚长,所争决不在一年半月,万不可因此着急失望,招精神之萎葸。

Copyright 2015- 芒果酷(mangocool.com) All rights reserved. 湘ICP备14019394号

免责声明:本网站部分文章转载其他媒体,意在为公众提供免费服务。如有信息侵犯了您的权益,可与本网站联系,本网站将尽快予以撤除。