4.1 用到的軟體包
1) tomcat 4.0.2
用途:web server。
2) jsse 1.0,2
用途:用來產生tocmcat使用的秘鑰對(keystore)。《如果jdk是1.4以上版本,就不需要安裝此軟體》
3) openssl 0.9.9.6
用途:用來產生ca證書、簽名並生成ie可匯入的pkcs#12格式私鑰。
以上工具的安裝過程可以參考自帶的幫助,本文就不再詳細描述了。
4.2 建立自己的ca
4.2.1 建立工作目錄
mkdir ca
4.2.2 生成ca私鑰以及自簽名根證書
4.2.2.1 生成ca私鑰 (ca/ca-key.pem)
openssl genrsa -out ca/ca-key.pem 1024
4.2.2.2 生成待簽名證書 (ca/ca-req.csr -key)
openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem
4.2.2.3 用ca私鑰進行自簽名 (ca/ca-cert.pem)
openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 365
4.3 設定tomcat 4.x
在本文中用符號"%jdk_home%"來表示jdk的安裝位置,用符號"%tcat_home%" 表示tomcat的安裝位置。
4.3.1建立工作目錄
mkdir server
4.3.2 生成server端證書
4.3.2.1 生成keypair
c=zh/st=shanghai/l=sh/o=unsap/ou=tech/cn=dec_unsap
%jdk_home%/bin/keytool -genkey -alias tomcat_server -validity 365 -keyalg rsa -keysize 1024 -keypass password -storepass password -dname "cn=dec_unsap, ou=tech, o=unsap, l=sh, st=shanghai, c=zh" -keystore server/server_keystore
4.3.2.2 生成待簽名證書
%jdk_home%/bin/keytool -certreq -alias tomcat_server -sigalg md5withrsa -file server/server.csr -keypass password -keystore server/server_keystore -storepass password
4.3.2.3 用ca私鑰進行簽名
4.3.3 修改server.xml使tomcat支援ssl
首先找到以下內容,去掉對其的注釋。然後參照紅色部分修改。tomcat5.5.26配置
說明:然後把檔案server/server_keystore複製到目錄%tcat_home%/conf/下。
4.4 在ie中安裝個人證書
4.4.1 建立工作目錄
mkdir client
4.4.2 生成client私鑰並用ca私鑰簽名
4.4.2.1 生成client私鑰
openssl genrsa -out client/client-key.pem 1024
4.4.2.2 生成待簽名證書
openssl req -new -out client/client-req.csr -key client/client-key.pem
4.4.2.3 用ca私鑰進行簽名
openssl x509 -req -in client/client-req.csr -out client/client.crt -signkey client/client-key.pem
-ca ca/ca-cert.pem -cakey ca/ca-key.pem -cacreateserial -days 365
4.4.2.4 生成client端的個人證書
因為jsse1.0.2沒有完全實現了對pkcs#12格式檔案的操作(只能讀取,不能輸出),所以在這裡需要用openssl製作client端的個人證書(包含私鑰)。
openssl pkcs12 -export -clcerts -in client/client.crt -inkey client/client-key.pem -out client/client.p12
4.4.2.5 安裝信任的根證書
說明:在瀏覽器中直接輸入
然後安裝證書到信任區域就可以。ip必須是生成證書時上網hostname
把ca/ca-cert.pem改名為ca/ca-cert.cer,在client端的ie中使用"工具 ' internet選項 ' 內容 ' 證書 ' 匯入"把我們生成的ca根證書匯入,使其成為使用者信任的ca。
4.4.3 安裝個人證書
把client.p12匯入到client端的ie中作為個人證書,匯入過程同4.4.2.5。
4.5 用ie瀏覽器使用ssl協議訪問tomcat
4.5.1 啟動tomcat 4.x
執行%tcat_home%/bin/startup.bat啟動tomcat 4.x
4.5.2 用ie訪問tomcat 4.x
在ie瀏覽器的位址列中輸入https://localhost:8443,如果前面的操作都正確的話,應該可以看到tomcat的歡迎頁面。同時狀態列上的小鎖處於閉合狀態,表示您已經成功地與伺服器建立了要求客戶端驗證的ssl安全連線。
配置Tomcat 4使用SSL
以上工具的安裝過程可以參考自帶的幫助,本文就不再詳細描述了。4.2 建立自己的ca 4.2.1 建立工作目錄 mkdir ca 4.2.2 生成ca私鑰以及自簽名根證書 4.2.2.1 生成ca私鑰 openssl genrsa out ca ca key.pem 1024 4.2.2.2 生成待簽...
tomcat實現SSL配置
開啟server.xml檔案,開啟define a ssl http 1.1 connector on port 8443,刪除登出資訊。修改節點 具體如下 keystorefile的路徑是tomcat的安裝路徑下的tomcat.keystore 使用keytool生成的證書庫檔案 keytool ...
Tomcat 配置雙向SSL
根證書 1.建立ca工作目錄 mkdir ca cd ca 2.生成ca私鑰 openssl genrsa out ca key.pem 1024 3.生成待簽名證書 openssl req new out ca req.csr key ca key.pem 即為ca根證書,可將其下發到客戶端,匯入...