轉載地址:http://blog.csdn.net/keketrtr/article/details/52869173
轉載:
tomcat6配置:
1.單向認證,就是傳輸的數據加密過了,但是不會校驗客戶端的來源
2.雙向認證,如果客戶端瀏覽器沒有導入客戶端證書,是訪問不了web系統的,找不到地址
如果只是加密,我感覺單向就行了。
如果想要用系統的人沒有證書就訪問不了系統的話,就采用雙向
單向配置:
第一步:為服務器生成證書
使用keytool 為 Tomcat 生成證書,假定目標機器的域名是“ localhost ”, keystore 文件存放在“ C:\tomcat.keystore ”,口令為“ password ”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650 -keystore c:\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
這個tomcat.cer是為了解決不信任時要導入的
keytool -export -alias tomcat -keystore c:\tomcat.keystore -file c:\tomcat.cer -storepass password
第四步:配置Tomcat 服務器
打開Tomcat 根目錄下的 /conf/server.xml ,找到如下配置段,修改如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="C:/tomcat.keystore" keystorePass="password" >
應用程序的web.xml 可以加上這句話: 具體web系統
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
到這里啟動tomcat,輸入 https://localhost:8443/
這時再打開會彈出一個提示框:證書不可信任,有一個警告,說什么需要機構頒發。
這時再雙擊第一步生成的tomcat.cer。一直下一步,最后選“是”。
導入后,再輸入地址就不是提示了。直接轉向tomcat的貓頁,說明成功了。
雙向配置:
第一步:為服務器生成證書
使用keytool 為 Tomcat 生成證書,假定目標機器的域名是“ localhost ”, keystore 文件存放在“ C:\tomcat.keystore ”,口令為“ password ”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650 -keystore c:\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
這個tomcat.cer是為了解決不信任時要導入的
keytool -export -alias tomcat -keystore c:\tomcat.keystore -file c:\tomcat.cer -storepass password
第二步:為客戶端生成證書
下一步是為瀏覽器生成證書,以便讓服務器來驗證它。為了能將證書順利導入至IE 和 Firefox ,證書格式應該是 PKCS12 ,因此,使用如下命令生成:
keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12 -validity 3650 -keystore C:\my.p12 -dname "CN=MyKey,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
第三步:讓服務器信任客戶端證書
由於是雙向SSL 認證,服務器必須要信任客戶端證書,因此,必須把客戶端證書添加為服務器的信任認證。由於不能直接將 PKCS12 格式的證書庫導入,我們必須先把客戶端證書導出為一個單獨的 CER 文件,使用如下命令:
keytool -export -alias myKey -keystore C:\my.p12 -storetype PKCS12 -storepass password -rfc -file C:\my.cer
通過以上命令,客戶端證書就被我們導出到“C:\my.cer ”文件了。下一步,是將該文件導入到服務器的證書庫,添加為一個信任證書:
keytool -import -v -file C:\my.cer -keystore c:\tomcat.keystore -storepass password
通過list 命令查看服務器的證書庫,我們可以看到兩個輸入,一個是服務器證書,一個是受信任的客戶端證書:
keytool -list -keystore c:\tomcat.keystore -storepass password
第四步:配置Tomcat 服務器
打開Tomcat 根目錄下的 /conf/server.xml ,找到如下配置段,修改如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="C:/tomcat.keystore" keystorePass="password"
truststoreFile="C:/tomcat.keystore" truststorePass="password"/>
應用程序的web.xml 可以加上這句話: 具體web系統
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
到這里啟動tomcat,輸入 https://localhost:8443/,是訪問不了的:原因客戶端證書沒有導入瀏覽器
雙擊 “C:\my.p12” 即可將證書導入至 IE :輸入創建時候的密碼,password
這時再打開會彈出一個提示框:證書不可信任,有一個警告,說什么需要機構頒發。
這時再雙擊第一步生成的tomcat.cer。一直下一步,最后選“是”。
導入后,再輸入地址就不是提示了。直接轉向tomcat的貓頁,說明成功了。
其他:
1.ssl默認端口是443,如果web系統不需要帶端口訪問的,可以修改,去找找資料,我沒試過。
2.如果要批量生成客戶端的話,找找批量生成工具,我搜到過。
1.單向認證,就是傳輸的數據加密過了,但是不會校驗客戶端的來源
2.雙向認證,如果客戶端瀏覽器沒有導入客戶端證書,是訪問不了web系統的,找不到地址
如果只是加密,我感覺單向就行了。
如果想要用系統的人沒有證書就訪問不了系統的話,就采用雙向
單向配置:
第一步:為服務器生成證書
使用keytool 為 Tomcat 生成證書,假定目標機器的域名是“ localhost ”, keystore 文件存放在“ C:\tomcat.keystore ”,口令為“ password ”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650 -keystore c:\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
這個tomcat.cer是為了解決不信任時要導入的
keytool -export -alias tomcat -keystore c:\tomcat.keystore -file c:\tomcat.cer -storepass password
第四步:配置Tomcat 服務器
打開Tomcat 根目錄下的 /conf/server.xml ,找到如下配置段,修改如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="C:/tomcat.keystore" keystorePass="password" >
應用程序的web.xml 可以加上這句話: 具體web系統
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
到這里啟動tomcat,輸入 https://localhost:8443/
這時再打開會彈出一個提示框:證書不可信任,有一個警告,說什么需要機構頒發。
這時再雙擊第一步生成的tomcat.cer。一直下一步,最后選“是”。
導入后,再輸入地址就不是提示了。直接轉向tomcat的貓頁,說明成功了。
雙向配置:
第一步:為服務器生成證書
使用keytool 為 Tomcat 生成證書,假定目標機器的域名是“ localhost ”, keystore 文件存放在“ C:\tomcat.keystore ”,口令為“ password ”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650 -keystore c:\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
這個tomcat.cer是為了解決不信任時要導入的
keytool -export -alias tomcat -keystore c:\tomcat.keystore -file c:\tomcat.cer -storepass password
第二步:為客戶端生成證書
下一步是為瀏覽器生成證書,以便讓服務器來驗證它。為了能將證書順利導入至IE 和 Firefox ,證書格式應該是 PKCS12 ,因此,使用如下命令生成:
keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12 -validity 3650 -keystore C:\my.p12 -dname "CN=MyKey,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
第三步:讓服務器信任客戶端證書
由於是雙向SSL 認證,服務器必須要信任客戶端證書,因此,必須把客戶端證書添加為服務器的信任認證。由於不能直接將 PKCS12 格式的證書庫導入,我們必須先把客戶端證書導出為一個單獨的 CER 文件,使用如下命令:
keytool -export -alias myKey -keystore C:\my.p12 -storetype PKCS12 -storepass password -rfc -file C:\my.cer
通過以上命令,客戶端證書就被我們導出到“C:\my.cer ”文件了。下一步,是將該文件導入到服務器的證書庫,添加為一個信任證書:
keytool -import -v -file C:\my.cer -keystore c:\tomcat.keystore -storepass password
通過list 命令查看服務器的證書庫,我們可以看到兩個輸入,一個是服務器證書,一個是受信任的客戶端證書:
keytool -list -keystore c:\tomcat.keystore -storepass password
第四步:配置Tomcat 服務器
打開Tomcat 根目錄下的 /conf/server.xml ,找到如下配置段,修改如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="C:/tomcat.keystore" keystorePass="password"
truststoreFile="C:/tomcat.keystore" truststorePass="password"/>
應用程序的web.xml 可以加上這句話: 具體web系統
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
到這里啟動tomcat,輸入 https://localhost:8443/,是訪問不了的:原因客戶端證書沒有導入瀏覽器
雙擊 “C:\my.p12” 即可將證書導入至 IE :輸入創建時候的密碼,password
這時再打開會彈出一個提示框:證書不可信任,有一個警告,說什么需要機構頒發。
這時再雙擊第一步生成的tomcat.cer。一直下一步,最后選“是”。
導入后,再輸入地址就不是提示了。直接轉向tomcat的貓頁,說明成功了。
其他:
1.ssl默認端口是443,如果web系統不需要帶端口訪問的,可以修改,去找找資料,我沒試過。
2.如果要批量生成客戶端的話,找找批量生成工具,我搜到過。
轉載地址:http://blog.csdn.net/keketrtr/article/details/52869173