配置tomcat實現http轉向https雙向認證
任務需求:原有的請求爲非安全的http協議,通過tomcat相關配置實現http跳轉爲更爲安全的https進行訪問。
工具:tomcat,控制檯
步驟:
1.服務器生成證書
通過控制檯跳轉到tomcat安裝目錄下,運行以下命令:
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\key\tomcat.keystore -validity 36500
alias:證書別名;
Keystore:證書存儲位置;
Tomcat.keystore:生成的文件名字;
Validity:證書有限期。
回車運行後需要填寫以下問題:
A、輸入密鑰庫口令:自己設置;
B、“您的名字語姓氏是什麼?”:tomcat部署主機的域名,可以設置爲127.0.0.1或其他。
後續幾個問題可以不填,直接回車到系統詢問填寫是否正確?輸入y,生成tomcat.keystore文件。
2.客戶端生成證書
生成格式爲PKCS12的瀏覽器證書,在控制檯輸入以下命令:
keytool -genkey-v –alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\key\mykey.p12可以在相應位置找到mykey.p12文件,直接雙擊運行此文件,按照提示安裝證書,將證書填入到“受信任的根證書頒發機構”。
3.雙向認證
由於雙向認證是通過SSL,服務器語客戶端必須互相信任證書,首先將客戶端證書導出爲CER文件,在控制檯輸入以下命令:
keytool-export -alias mykey -keystore D:\key\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\key\mykey.cerpassword爲設置的密碼,回車即可在相應位置可以生成mykey.cer文件,將該文件導入到服務器的證書庫,在控制檯輸入以下命令:
keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore
keytool-export -alias client(客戶端證書別名) -keystore D:\key\client.p12 -storetype PKCS12 -storepass client(你的客戶端keystore密碼) -rfc-file D:\key\clientforserver.ce再進行客戶端對服務器證書的驗證,也將服務器證書導出爲CER文件,在控制檯輸入以下命令:
keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer
在相應位置也可以生成tomcat.cer文件。安裝兩個生成的cer文件,按照提示安裝證書文件,將證書填入到“受信任的根證書頒發機構”。
4.配置tomcat
修改server.xml文件,暫時不需要修改web.xml文件(經測試)
打開tomcat根目錄下的/conf/server.xml文件,添加如下字段:
<Connector keystoreFile="D:/key/tomcat.keystore(生成的keystore文件)"
SSLEnabled="true" clientAuth="true"
keystorePass="密碼" maxThreads="150" port="8443"
protocol="org.apache.coyote.http11.Http11NioProtocol"
scheme="https" secure="true" sslProtocol="TLS"
truststoreFile="D:/key/tomcat.keystore(生成的keystore文件)" truststorePass="設置的密碼"/>
5.測試
在tomcat7和tomcat8中測試,需要設置myeclipse(2015)中的server文件,防止每次部署項目自動恢復server.xml文件,直接修改下圖中的文件即可。
測試結果如下圖:
在tomcat6中,暫時沒有發現myeclipse(8)自動恢復文件的問題。
參考:http://blog.csdn.net/zhangyong125/article/details/49944683#comments