tomcat https 證書配置

Tomcat配置HTTPS的文章到處都有，過程也比較簡單，隨後文中會轉一段過來。

但對於啓用APR情況下報異常“java.lang.Exception: Connector attribute SSLCertificateFile must be defined when  using SSL with APR”的解決方法上處理的都比較偷懶，通常都是把APR註釋掉不啓用APR。

做爲一個文藝青年兼軟件開發工程師（偶吐），我有責任深入學習仔細研究完美解決這個問題（偶再吐）。

 

資料轉載【TOMCAT配置HTTPS】

################################################################

 

 

二、創建證書

囉嗦幾句：證書是單點登錄認證系統中很重要的一把鑰匙，客戶端於服務器的交互安全靠的就是證書；本教程由於是演示所以就自己用JDK自帶的keytool工具生成證書；如果以後真正在產品環境中使用肯定要去證書提供商去購買，證書認證一般都是由VeriSign認證，中文官方網站：http://www.verisign.com/cn/

用JDK自帶的keytool工具生成證書：

keytool -genkey -alias wsria -keyalg RSA -keystore d:/keys/wsriakey

 

無圖不給力，有圖有真相：

具體的輸入項圖片中都有說明，有一點我要解釋一下；在輸入完密碼後提示輸入域名是我輸入的是sso.wsria.com，其實這個域名是不存在的，但是我爲了演示所以虛擬了這個域名，技巧在於修改

C:\Windows\System32\drivers\etc\hosts

添加內容如下：

127.0.0.1  sso.wsria.com

這樣在訪問sso.wsria.com的時候其實是訪問的127.0.0.1也就是本機

嚴重提醒：提示輸入域名的時候不能輸入IP地址

三、導出證書

D:\keys>keytool -export -file d:/keys/wsria.crt -alias wsria -keystore d:/keys/wsriakey

特別提示：如果提示：

keytool error: java.io.IOException: Keystore was tampered with, or password was incorrect

那麼請輸入密碼：changeit

來點顏色：

至此導出證書完成，可以分發給應用的JDK使用了，接下來講解客戶端的JVM怎麼導入證書。

四、爲客戶端的JVM導入證書

keytool -import -keystore D:\tools\jdk\1.6\jdk1.6.0_20\jre\lib\security\cacerts -file D:/keys/wsria.crt -alias wsria

來點顏色瞧瞧：

特別說明

D:\tools\jdk\1.6\jdk1.6.0_20\jre\lib\security -- 是jre的目錄；密碼還是剛剛輸入的密碼。至此證書的創建、導出、導入到客戶端JVM都已完成，下面開始使用證書到Web服務器中，本教程使用tomcat。

五、應用證書到Web服務器-Tomcat

說是應用起始做的事情就是啓用Web服務器(Tomcat)的SSL，也就是HTTPS加密協議，爲什麼加密我就不用囉嗦了吧…… 準備好一個乾淨的tomcat，本教程使用的apache-tomcat-6.0.29 打開tomcat目錄的conf/server.xml文件，開啓83和87行的註釋代碼，並設置keystoreFile、keystorePass修改結果如下：

?

1 2	<connector port="8443" protocol="HTTP/1.1" sslenabled="true" maxthreads="150" scheme="https" secure="true" clientauth="false" sslprotocol="TLS" keystorefile="D:/keys/wsriakey" keystorepass="wsria.com"> </connector>

參數說明：

• keystoreFile：在第一步創建的key存放位置

• keystorePass：創建證書時的密碼

好了，到此Tomcat的SSL啓用完成，現在你可以啓動tomcat試一下了，例如本教程輸入地址：https://sso.wsria.com:8443/ 打開的是：

好的，那麼我們點擊“繼續瀏覽此網站(不推薦)。現在進入Tomcat目錄了吧，如果是那麼你又向成功邁進了一步。

 

 

################################################################

來自http://www.kafeitu.me/2010/11/05/sso-cas-full-course.html。

 

文章寫的很好，也很細緻。

 

嗯。好了，問題來了。

 

當我啓動Tomcat時發現控制檯報錯如下：

 

 

Java代碼  

2012-5-16 13:10:37 org.apache.catalina.core.AprLifecycleListener init
信息: Loaded APR based Apache Tomcat Native library 1.1.23.
2012-5-16 13:10:37 org.apache.catalina.core.AprLifecycleListener init
信息: APR capabilities: IPv6 [true], sendfile [true], accept filters [false], random [true].
2012-5-16 13:10:37 org.apache.coyote.AbstractProtocol init
信息: Initializing ProtocolHandler ["http-apr-8080"]
2012-5-16 13:10:37 org.apache.coyote.AbstractProtocol init
信息: Initializing ProtocolHandler ["http-apr-8443"]
2012-5-16 13:10:37 org.apache.coyote.AbstractProtocol init
嚴重: Failed to initialize end point associated with ProtocolHandler ["http-apr-8443"]
java.lang.Exception: <span style="background-color: #ffff00;">Connector attribute SSLCertificateFile must be defined when using SSL with APR</span>
        at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:484)
        at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:566)
        at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:417)
        at org.apache.catalina.connector.Connector.initInternal(Connector.java:956)
        at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:102)
        at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)

 

 

 

直接Google，很多答案都是不啓用APR，修改conf/server.xml註釋掉下面一段

 

 

Xml代碼  

<!--APR library loader. Documentation at /docs/apr.html -->
<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />

 例如：http://tdp100.iteye.com/code?tag=tomcat+https

 

但這樣做將失去APR庫的價值，Tomcat性能必然下降（APR庫作用見此處http://wenson.iteye.com/blog/382738）

 

讓我們打開Tomcat的文檔webapps/docs/apr.html，其中講到

 

 

      <Connector port="443" maxHttpHeaderSize="8192"
                 maxThreads="150"
                 enableLookups="false" disableUploadTimeout="true"
                 acceptCount="100" scheme="https" secure="true"
                 SSLEnabled="true"                 SSLCertificateFile="${catalina.base}/conf/localhost.crt"
                 SSLCertificateKeyFile="${catalina.base}/conf/localhost.key" />

 

 

SSLCertificateFile屬性好理解，是指證書文件，就是用keytool導出的那個。

而SSLCertificateKeyFile應該是指私鑰，這個東西從哪裏來呢，繼續找資料。

 

在這裏：http://stackoverflow.com/questions/150167/how-do-i-list-export-private-keys-from-a-keystore

 

關鍵是這一段：

 

keytool -importkeystore -srckeystore keystore.jks \    -destkeystore intermediate.p12 -deststoretype PKCS12

Next, use OpenSSL to do the extraction to PEM:

openssl pkcs12 -in intermediate.p12 -out extracted.pem -nodes

 

先把keystore轉換爲pkcs12格式，然後使用openssl工具導出私鑰即可。

openssl 工具可以從這裏下載：http://gnuwin32.sourceforge.net/packages/openssl.htm

 

ohYeah! 搞定了。

注意 ：不同版本號對應配置不相同

tomcat 6 配置

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"   

           port="8443" minSpareThreads="5" maxSpareThreads="75"   

           enableLookups="true" disableUploadTimeout="true"     

           acceptCount="100"  maxThreads="200"   

           scheme="https" secure="true" SSLEnabled="true"   

           clientAuth="false" sslProtocol="TLS"   

           keystoreFile="F:/apache-tomcat/server.keystore"     

           keystorePass="password"/>