【转】给Tomcat配置HTTPS访问

 

转载自 http://blog.csdn.net/binyao02123202/archive/2011/01/30/6169723.aspx

由于配置CAS的单点登陆系统,需要先配置Tomcat 的SSL, 在配置tomcat的SSL过程中,我配置的版本是tomcat5.5.20,参考了很多资料,但发现一直不行,后来我换到了5.5.9,结果非常顺利,我于是换了总共4个主要版本,发现SSL的配置还真有些不同,现在我将这些配置记录下来,供下次参考。


参考文档

Keytool使用指南:

http://java.sun.com/j2se/1.4.2/docs/tooldocs/windows/keytool.html

Tomcat-ssl配置指南:

http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html

配置过程

1. 生成 server key :[生成keystore文件]

以命令行方式切换到目录%TOMCAT_HOME%,在command命令行输入如下命令(jdk1.4以上带的工具):

keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600

用户名输入域名,如localhost(开发或测试用)或hostname.domainname(用户拥有的域名),其它全部以 enter 跳过,最后确认,此时会在%TOMCAT_HOME%下生成server.keystore 文件。

[这一步对于使用httpclient这样的客户端来请求相当重要,因为再验证证书时是需要检查证书中的name和请求的域名是否相同的,CAS里面客户端就爱遇到这种问题。http://hi.baidu.com/qq295361921/blog/item/489945d174d4f387a1ec9cfb.html]

注:参数 -validity 指证书的有效期(天),缺省有效期很短,只有90天。

2.  将证书导入的JDK的证书信任库中:

这步对于Tomcat的SSL配置不是必须,但对于CAS SSO是必须的,否则会出现如下错误:edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate ProxyTicketValidator。。。

导入过程分2步,第一步是导出证书,第二步是导入到证书信任库,命令如下:

keytool -export -trustcacerts -alias tomcat -file server.cer -keystore  server.keystore -storepass changeit

[从server.keystore中导出server.cer ,这里的密码是server.keystore的密码]

keytool -import -trustcacerts -alias tomcat -file server.cer -keystore  %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit

[将server.cer 导入keystore文件cacerts中 ,cacerts是jre自带的keystore文件,注意这里的密码是cacerts的密码,原始密码是changeit]

如果有提示,输入Y就可以了。

其他有用keytool命令(列出信任证书库中所有已有证书,删除库中某个证书):

keytool -list -v -keystore D:/sdks/jdk1.5.0_11/jre/lib/security/cacerts

keytool -delete -trustcacerts -alias tomcat  -keystore  D:/sdks/jdk1.5.0_11/jre/lib/security/cacerts -storepass changeit

3.  配置TOMCAT :

修改%TOMCAT_HOME%\conf\server.xml,以文字编辑器打开,查找这一行:

xml 代码

将之后的那段的注释去掉,并加上 keystorePass及keystoreFile属性。

注意,tomcat不同版本配置是不同的:

Tomcat4.1.34配置:

xml 代码

  1.  
  2.    <Connector className="org.apache.coyote.tomcat4.CoyoteConnector" 
  3.            port="8443" enableLookups="true" scheme="https" secure="true" 
  4.            acceptCount="100" 
  5.            useURIValidationHack="false" disableUploadTimeout="true" 
  6.            clientAuth="false" sslProtocol="TLS"   
  7.            keystoreFile="server.keystore"   
  8.            keystorePass="changeit"/> 

Tomcat5.5.9配置:

xml 代码

  1. <Connector port="8443" maxHttpHeaderSize="8192"
  2. maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
  3. enableLookups="false" disableUploadTimeout="true"
  4. acceptCount="100" scheme="https" secure="true"
  5. clientAuth="false" sslProtocol="TLS"
  6. keystoreFile="server.keystore"
  7. keystorePass="changeit"/>
Tomcat5.5.20配置(此配置同样可用于Tomcat6.0):

xml 代码

  1. <Connector protocol="org.apache.coyote.http11.Http11Protocol"
  2. port="8443" maxHttpHeaderSize="8192"
  3. maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
  4. enableLookups="false" disableUploadTimeout="true"
  5. acceptCount="100" scheme="https" secure="true"
  6. clientAuth="false" sslProtocol="TLS"
  7. keystoreFile="server.keystore"
  8. keystorePass="changeit"/>
Tomcat6.0.10配置:

xml 代码

  1. <Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
  2. port="8443" minSpareThreads="5" maxSpareThreads="75"
  3. enableLookups="true" disableUploadTimeout="true"
  4. acceptCount="100" maxThreads="200"
  5. scheme="https" secure="true" SSLEnabled="true"
  6. clientAuth="false" sslProtocol="TLS"
  7. keystoreFile="D:/tools/apache-tomcat-6.0.10/server.keystore"
  8. keystorePass="changeit"/>

tomcat6支持3种,请参考以下文档:

http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html

验证配置

访问 https://localhost:8443/

<connector protocol="org.apache.coyote.http11.Http11NioProtocol"></connector>


Total views.

© 2013 - 2018. All rights reserved.

Powered by Hydejack v6.6.1