https證書tomcat

❾ 如何配置https訪問tomcat

准備：TOMCAT公網信任證書，按照以下教程安裝，如果沒有證書可以淘寶Gworg獲取。
Tomcat 安裝SSL證書：https://www.gworg.com/ssl/109.html
tomcat 自動跳轉到HTTPS：https://www.gworg.com/ssl/132.html
注意：安裝防火牆需要設置允許443埠或關閉防火牆，如果本地伺服器安裝安全狗的，請允許443埠。

❿ 如何配置tomcat的https證書

1、為伺服器生成證書
「運行」控制台，進入%JAVA_HOME%/bin目錄，使用如下命令進入目錄：
cd 「c:\Program Files\Java\jdk1.6.0_11\bin」
使用keytool為Tomcat生成證書，假定目標機器的域名是「localhost」，keystore文件存放在「D:\home\tomcat.keystore」，口令為「password」，使用如下命令生成：
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500 (參數簡要說明：「D:\home\tomcat.keystore」含義是將證書文件的保存路徑，證書文件名稱是tomcat.keystore ；「-validity 36500」含義是證書有效期，36500表示100年，默認值是90天 「tomcat」為自定義證書名稱)。
在命令行填寫必要參數：
A、 輸入keystore密碼：此處需要輸入大於6個字元的字元串。
B、 「您的名字與姓氏是什麼？」這是必填項，並且必須是TOMCAT部署主機的域名或者IP[如：gbcom.com 或者 10.1.25.251]（就是你將來要在瀏覽器中輸入的訪問地址），否則瀏覽器會彈出警告窗口，提示用戶證書與所在域不匹配。在本地做開發測試時，應填入「localhost」。
C、 你的組織單位名稱是什麼？」、「您的組織名稱是什麼？」、「您所在城市或區域名稱是什麼？」、「您所在的州或者省份名稱是什麼？」、「該單位的兩字母國家代碼是什麼？」可以按照需要填寫也可以不填寫直接回車，在系統詢問「正確嗎？」時，對照輸入信息，如果符合要求則使用鍵盤輸入字母「y」，否則輸入「n」重新填寫上面的信息。
D、 輸入<tomcat>的主密碼，這項較為重要，會在tomcat配置文件中使用，建議輸入與keystore的密碼一致，設置其它密碼也可以，完成上述輸入後，直接回車則在你在第二步中定義的位置找到生成的文件。

2、為客戶端生成證書
為瀏覽器生成證書，以便讓伺服器來驗證它。為了能將證書順利導入至IE和Firefox，證書格式應該是PKCS12，因此，使用如下命令生成：
keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12 （mykey為自定義）。
對應的證書庫存放在「D:\home\mykey.p12」，客戶端的CN可以是任意值。雙擊mykey.p12文件，即可將證書導入至瀏覽器（客戶端）。
讓伺服器信任客戶端證書
由於是雙向SSL認證，伺服器必須要信任客戶端證書，因此，必須把客戶端證書添加為伺服器的信任認證。由於不能直接將PKCS12格式的證書庫導入，必須先把客戶端證書導出為一個單獨的CER文件，使用如下命令：
keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer
(mykey為自定義與客戶端定義的mykey要一致，password是你設置的密碼)。通過以上命令，客戶端證書就被我們導出到「D:\home\mykey.cer」文件了。
下一步，是將該文件導入到伺服器的證書庫，添加為一個信任證書使用命令如下：
keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore
通過list命令查看伺服器的證書庫，可以看到兩個證書，一個是伺服器證書，一個是受信任的客戶端證書：
keytool -list -keystore D:\home\tomcat.keystore (tomcat為你設置伺服器端的證書名)。
讓客戶端信任伺服器證書
由於是雙向SSL認證，客戶端也要驗證伺服器證書，因此，必須把伺服器證書添加到瀏覽的「受信任的根證書頒發機構」。由於不能直接將keystore格式的證書庫導入，必須先把伺服器證書導出為一個單獨的CER文件，使用如下命令：
keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer (tomcat為你設置伺服器端的證書名)。
通過以上命令，伺服器證書就被我們導出到「D:\home\tomcat.cer」文件了。雙擊tomcat.cer文件，按照提示安裝證書，將證書填入到「受信任的根證書頒發機構」。
配置Tomcat伺服器
打開Tomcat根目錄下的/conf/server.xml，找到Connector port="8443"配置段，修改為如下：
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true" maxThreads="150" scheme="https"
secure="true" clientAuth="true" sslProtocol="TLS"
keystoreFile="D:\\home\\tomcat.keystore" keystorePass="123456"
truststoreFile="D:\\home\\tomcat.keystore" truststorePass="123456" />
（tomcat要與生成的服務端證書名一致）
屬性說明：
clientAuth:設置是否雙向驗證，默認為false，設置為true代表雙向驗證
keystoreFile:伺服器證書文件路徑
keystorePass:伺服器證書密碼
truststoreFile:用來驗證客戶端證書的根證書，此例中就是伺服器證書
truststorePass:根證書密碼

3、測試
在瀏覽器中輸入:https://localhost:8443/，會彈出選擇客戶端證書界面，點擊「確定」，會進入tomcat主頁，地址欄後會有「鎖」圖標，表示本次會話已經通過HTTPS雙向驗證，接下來的會話過程中所傳輸的信息都已經過SSL信息加密。