tomcat实现SSL配置

<!-- /* Font Definitions */ @font-face{font-family:宋体;panose-1:2 1 6 0 3 1 1 1 1 1;mso-font-alt:SimSun;mso-font-charset:134;mso-generic-font-family:auto;mso-font-pitch:variable;mso-font-signature:3 135135232 16 0 262145 0;}@font-face{font-family:"/@宋体";panose-1:2 1 6 0 3 1 1 1 1 1;mso-font-charset:134;mso-generic-font-family:auto;mso-font-pitch:variable;mso-font-signature:3 135135232 16 0 262145 0;} /* Style Definitions */ p.MsoNormal, li.MsoNormal, div.MsoNormal{mso-style-parent:"";margin:0cm;margin-bottom:.0001pt;text-align:justify;text-justify:inter-ideograph;mso-pagination:none;font-size:10.5pt;mso-bidi-font-size:12.0pt;font-family:"Times New Roman";mso-fareast-font-family:宋体;mso-font-kerning:1.0pt;}p.MsoHeader, li.MsoHeader, div.MsoHeader{margin:0cm;margin-bottom:.0001pt;text-align:center;mso-pagination:none;tab-stops:center 207.65pt right 415.3pt;layout-grid-mode:char;border:none;mso-border-bottom-alt:solid windowtext .75pt;padding:0cm;mso-padding-alt:0cm 0cm 1.0pt 0cm;font-size:9.0pt;font-family:"Times New Roman";mso-fareast-font-family:宋体;mso-font-kerning:1.0pt;}p.MsoFooter, li.MsoFooter, div.MsoFooter{margin:0cm;margin-bottom:.0001pt;mso-pagination:none;tab-stops:center 207.65pt right 415.3pt;layout-grid-mode:char;font-size:9.0pt;font-family:"Times New Roman";mso-fareast-font-family:宋体;mso-font-kerning:1.0pt;}span.style71{mso-style-name:style71;} /* Page Definitions */ @page{mso-page-border-surround-header:no;mso-page-border-surround-footer:no;}@page Section1{size:595.3pt 841.9pt;margin:72.0pt 90.0pt 72.0pt 90.0pt;mso-header-margin:42.55pt;mso-footer-margin:49.6pt;mso-paper-source:0;layout-grid:15.6pt;}div.Section1{page:Section1;} /* List Definitions */ @list l0{mso-list-id:1309479251;mso-list-template-ids:-1839971966;}@list l0:level1{mso-level-tab-stop:36.0pt;mso-level-number-position:left;text-indent:-18.0pt;}ol{margin-bottom:0cm;}ul{margin-bottom:0cm;}-->

tomcat实现SSL配置 

编辑tomcat的配置文件server.xml，去掉下面SSL Connector的注释,修改为如下：
  <!-- Define an SSL HTTP/1.1 Connector on port 8443 -->

  <Connector className="org.apache.catalina.connector.http.HttpConnector"
          port="8443" minProcessors="5" maxProcessors="75"
          enableLookups="true"
    acceptCount="10" debug="0" scheme="https" secure="true">
    <Factory className="org.apache.catalina.net.SSLServerSocketFactory"
          clientAuth="false" keystoreFile="tomcat.keystore"
          keystorePass="tomcat" protocol="TLS"/>
  </Connector>
keystoreFile的路径是TOMCAT的安装路径下的tomcat.keystore(使用keytool生成的证书库文件)
>keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore
keystoreFile保存了服务器端的证书库，用于客户端认证。

常用的配置属性：
clientAuth
如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书，置该值为true。 
keystoreFile
如果创建的keystore文件不在Tomcat认为的缺省位置（一个在Tomcat运行的home目录下的叫.keystore的文件），则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。
keystorePass
如果使用了一个与Tomcat预期不同的keystore（和证书）密码，则加入该属性。 
keystoreType
如果使用了一个PKCS12 keystore，加入该属性。有效值是JKS和PKCS12。 
sslProtocol
socket使用的加密/解密协议。如果使用的是Sun的JVM，则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下，使用SSL。 
ciphers
此socket允许使用的被逗号分隔的密码列表。缺省情况下，可以使用任何可用的密码。 
algorithm
使用的X509算法。缺省为Sun的实现（SunX509）。对于IBM JVMS应该使用ibmX509。对于其它JVM，参考JVM文档取正确的值。 
truststoreFile
用来验证客户证书的TrustStore文件。 
truststorePass
访问TrustStore使用的密码。缺省值是keystorePass。 
truststoreType
如果使用一个不同于正在使用的KeyStore的TrustStore格式，加入该属性。有效值是JKS和PKCS12。 


使用https://localhost:8443 就可以进行ssl连接的检测

----------------------------------------------------------------------------------------
上诉的SSL连接是客户端单向认证服务器，如果双向认证，将server.xml文件的Connector配置
clientAuth="false" 

Java服务器端的证书库，服务器认证客户端时使用的根证书库。

证书库位置：JAVA_HOME/jre/lib/security/cacerts keystore密码为:changeit

将客户端个人证书的根证书导入服务器的证书库，就可以认证客户端。

服务器端证书的生成：

>keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore
>keytool -certreq -alias tomcat -file Server.csr -keystore tomcat.keystore 生成证书请求文件

使用openssl命令用根证书签名,再导入签名证书

>keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore

注意-trustcacerts选项，使用服务器的证书库认证该证书，首先要将根证书导入cacerts中。

----------------------------------------------------------------------------------------
Tomcat配置SSL，我出现的问题

我用openssl创建了CA证书，Server证书，Client证书。
使用keytool将Server证书导入tomcat.keystore文件中,将Tomcat的配置文件server.xml关于SSL的配置设为keystoreFile=tomcat.keystore.SSL连接时，客户端认证tomcat.keystore中的服务器证书。
将CA证书导入$JAVA_HOME/jre/lib/security/cacerts这个keystore中，用于验证客户端证书。
在IE中安装CA证书和Client证书(pkcs12,包含私钥的个人证书形式)。
建立SSL连接https://localhost:8443,连接失败。

经过反复思量，知道问题所在，SSL连接时,客户端认证服务器时，需要验证服务器的签名，那么tomcat.keystore中就应该有Server的私钥。所以导入Server证书时，应该导入包含私钥的Server证书。
keytool命令不能导入私钥文件，可以通过在keystore中生成自签名证书，导出证书请求，用CA证书签名后，在导回的方法。
导回签名证书的过程
>keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore
注意-trustcacerts选项，使用服务器的证书库认证该证书，首先要将根证书导入Java的根证书库中:JAVA_HOME/jre/lib/security/cacerts中。

----------------------------------------------------------------------------------------

分析IE实现实现SSL连接的中的证书双向认证过程
在地址栏中输入https://localhost:8443
客户端向服务器发送hello消息，tomcat服务器侦听8443端口，收到SSL连接的hello消息，服务器发送server certificate，并且发送client certificate request.客户端IE收到server certificate后取出issuer项，和IE受信任的根证书库中证书的subject比对，找到合适的根证书认证server certificate。并且同时向服务器发送client certificate，服务器收到client certificate后，tomcat服务器查找根证书库cacerts中的根证书的suject，找到合适的根证书认证client certificate.在认证的同时完成密钥协商。客户端认证结束后，IE会弹出"安全警报"对话框，用户可以查看服务器证书，以及服务器证书是否受信任，可以选择是否继续SSL连接。

地震让大伙知道：居安思危，才是生存之道。
用心专研技术，用实际行动尽一份绵力吧！

 

为Jboss/tomcat配置Yale-CAS(一)证书和SSL

环境信息：

jdk1.5

jboss 4.0.3sp1

cas-server-3.2.1.1-release

cas-client-2.0.11

1.生成证书：

 

写道

一条命令建立keystore
keytool -genkey -keyalg RSA -keysize 512 -dname"CN=pso.cas.server,O=infolab,C=cn,L=infolab,S=Hangzhou,OU=pso" -aliaspso -keypass 123456 -keystore e:/alfred/cas/pso.keystorefile -storepass 123456-validity 365
逐个输入域名组织等信息来建立keystore
keytool -genkey -alias pso -keyalg RSA -keypass 123456 -storepass 123456-keystore pso.keystorefile -validity 3600

 

注： -dname 信息注解
CN:域名或 IP，这里一定需要服务器的域名，而不能是ip ,
（测试环境下你可以自己造一个域名，并在C:/WINDOWS/system32/drivers/etc/host(linux:/etc/hosts)文件中加入映射：192.168.10.1 cas.server）
OU:部门，没有部门的可不要此项 O:单位名称 L:单位地址 S:省份的拼音 C:国家的简写（ CN代表中国）

2.配置服务端jboss/tomcate 的ssl并指定对应的keystore

找到jboss/tomcate的server.xml文件(jboss:D:/jboss-4.0.3SP1/server/default/deploy/jbossweb-tomcat55.sar/)

Xml代码

1. <Connector port="8443" address="${jboss.bind.address}"  
2.            maxThreads="100" strategy="ms" maxHttpHeaderSize="8192"  
3.            emptySessionPath="true"  
4.            scheme="https" secure="true" clientAuth="false"   
5.            keystoreFile="e:/xxxx/xxxx.keystorefile"             
6.            keystorePass="123456"   
7.            sslProtocol = "TLS" />  

<Connectorport="8443" address="${jboss.bind.address}"

           maxThreads="100"strategy="ms" maxHttpHeaderSize="8192"

           emptySessionPath="true"

           scheme="https"secure="true" clientAuth="false"

          keystoreFile="e:/xxxx/xxxx.keystorefile"          

           keystorePass="123456"

           sslProtocol = "TLS" />

 

3.导出证书

写道

keytool -export -keystore pso.keystorefile -alias pso-file pso.cert

 

4.将pso.cert导入java信任证书库

写道

keytool -import -trustcacerts -alias tomcat_pso -filepso.cert -keypass changeit -keystore"%JAVA_HOME%/jre/lib/security/cacerts"

 

注：%JAVA_HOME%/jre/lib/security/cacerts为java自带的证书库，默认密码为changeit

写道

keytool -list -v -keystorec:/jdk15/jre/lib/security/cacerts (列出信任库中已经存在的证书)
keytool -delete -trustcacerts -alias tomcat -keystorec:/jdk15/jre/lib/security/cacerts -storepass changeit(删除某一个证书)