tomcat ssl單向/雙向 – JAVA編程語言程序開發技術文章

 tomcat6配置:
1.單向認證,就是傳輸的數據加密過瞭,但是不會校驗客戶端的來源
2.雙向認證,如果客戶端瀏覽器沒有導入客戶端證書,是訪問不瞭web系統的,找不到地址
如果隻是加密,我感覺單向就行瞭。
如果想要用系統的人沒有證書就訪問不瞭系統的話,就采用雙向
單向配置:
第一步:為服務器生成證書

使用keytool 為 tomcat 生成證書,假定目標機器的域名是“ localhost ”, keystore 文件存放在“ c:\tomcat.keystore ”,口令為“ password ”,使用如下命令生成:

keytool -genkey -v -alias tomcat -keyalg rsa   -validity 3650  -keystore c:\tomcat.keystore -dname "cn=localhost,ou=cn,o=cn,l=cn,st=cn,c=cn" -storepass password -keypass password
這個tomcat.cer是為瞭解決不信任時要導入的
keytool -export -alias tomcat -keystore c:\tomcat.keystore -file c:\tomcat.cer -storepass password
第四步:配置tomcat 服務器

打開tomcat 根目錄下的 /conf/server.xml ,找到如下配置段,修改如下:

<connector port="8443" protocol="http/1.1" sslenabled="true"

               maxthreads="150" scheme="https" secure="true"

    clientauth="false" sslprotocol="tls"

    keystorefile="c:/tomcat.keystore" keystorepass="password" >

 

應用程序的web.xml 可以加上這句話: 具體web系統

<!– authorization setting for ssl –>

<auth-method>client-cert</auth-method>

<realm-name>client cert users-only area</realm-name>

</login-config>

<security-constraint>

<!– authorization setting for ssl –>

<web-resource-collection >

<web-resource-name >ssl</web-resource-name>

<url-pattern>/*</url-pattern>

</web-resource-collection>

<user-data-constraint>

<transport-guarantee>confidential</transport-guarantee>

</user-data-constraint>

</security-constraint>

到這裡啟動tomcat,輸入 https://localhost:8443/
這時再打開會彈出一個提示框:證書不可信任,有一個警告,說什麼需要機構頒發。
這時再雙擊第一步生成的tomcat.cer。一直下一步,最後選“是”。

導入後,再輸入地址就不是提示瞭。直接轉向tomcat的貓頁,說明成功瞭。

 

雙向配置:
第一步:為服務器生成證書

使用keytool 為 tomcat 生成證書,假定目標機器的域名是“ localhost ”, keystore 文件存放在“ c:\tomcat.keystore ”,口令為“ password ”,使用如下命令生成:

keytool -genkey -v -alias tomcat -keyalg rsa   -validity 3650  -keystore c:\tomcat.keystore -dname "cn=localhost,ou=cn,o=cn,l=cn,st=cn,c=cn" -storepass password -keypass password
這個tomcat.cer是為瞭解決不信任時要導入的
keytool -export -alias tomcat -keystore c:\tomcat.keystore -file c:\tomcat.cer -storepass password
第二步:為客戶端生成證書

下一步是為瀏覽器生成證書,以便讓服務器來驗證它。為瞭能將證書順利導入至ie 和 firefox ,證書格式應該是 pkcs12 ,因此,使用如下命令生成:

keytool -genkey -v -alias mykey -keyalg rsa -storetype pkcs12   -validity 3650  -keystore c:\my.p12 -dname "cn=mykey,ou=cn,o=cn,l=cn,st=cn,c=cn" -storepass password -keypass password

第三步:讓服務器信任客戶端證書

由於是雙向ssl 認證,服務器必須要信任客戶端證書,因此,必須把客戶端證書添加為服務器的信任認證。由於不能直接將 pkcs12 格式的證書庫導入,我們必須先把客戶端證書導出為一個單獨的 cer 文件,使用如下命令:

keytool -export -alias mykey -keystore c:\my.p12 -storetype pkcs12 -storepass password -rfc -file c:\my.cer

 

通過以上命令,客戶端證書就被我們導出到“c:\my.cer ”文件瞭。下一步,是將該文件導入到服務器的證書庫,添加為一個信任證書:

keytool -import -v -file c:\my.cer -keystore c:\tomcat.keystore -storepass password

通過list 命令查看服務器的證書庫,我們可以看到兩個輸入,一個是服務器證書,一個是受信任的客戶端證書:

keytool -list -keystore c:\tomcat.keystore -storepass password

第四步:配置tomcat 服務器

打開tomcat 根目錄下的 /conf/server.xml ,找到如下配置段,修改如下:

<connector port="8443" protocol="http/1.1" sslenabled="true"

               maxthreads="150" scheme="https" secure="true"

    clientauth="true" sslprotocol="tls"

    keystorefile="c:/tomcat.keystore" keystorepass="password"

truststorefile="c:/tomcat.keystore" truststorepass="password"/>

 

應用程序的web.xml 可以加上這句話: 具體web系統

<!– authorization setting for ssl –>

<auth-method>client-cert</auth-method>

<realm-name>client cert users-only area</realm-name>

</login-config>

<security-constraint>

<!– authorization setting for ssl –>

<web-resource-collection >

<web-resource-name >ssl</web-resource-name>

<url-pattern>/*</url-pattern>

</web-resource-collection>

<user-data-constraint>

<transport-guarantee>confidential</transport-guarantee>

</user-data-constraint>

</security-constraint>

到這裡啟動tomcat,輸入 https://localhost:8443/,是訪問不瞭的:原因客戶端證書沒有導入瀏覽器
雙擊 “c:\my.p12” 即可將證書導入至 ie :輸入創建時候的密碼,password

這時再打開會彈出一個提示框:證書不可信任,有一個警告,說什麼需要機構頒發。
這時再雙擊第一步生成的tomcat.cer。一直下一步,最後選“是”。

導入後,再輸入地址就不是提示瞭。直接轉向tomcat的貓頁,說明成功瞭。

其他:
1.ssl默認端口是443,如果web系統不需要帶端口訪問的,可以修改,去找找資料,我沒試過。
2.如果要批量生成客戶端的話,找找批量生成工具,我搜到過。

發佈留言