Tomcat的HTTPS配置(整理版)

1、Tomcat 的 SSL 配置前提是：保證 JDK 的環(huán)境變量配置正確，能夠在任何文件夾下使用 java 命令1. 生成 server key以命令行方式切換到目錄 tomcat 所在的根目錄下，在 command 命令行輸入如下命令 （ jdk1.4 以上帶的工具）：keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600keytool-genkey ”將自動(dòng)使用默認(rèn)的算法生成公鑰和私鑰-alias 名稱 給證

2、書取個(gè)別名-keyalg 指定密鑰的算法， 如果需要指定密鑰的長(zhǎng)度， 可以再加上 keysize 參數(shù)。密鑰長(zhǎng)度默認(rèn)為1024 位，使用 DSA 算法時(shí)，密鑰長(zhǎng)度必須在 512 到 1024 之間，并且是 64 的整數(shù)倍-keystore 參數(shù)可以指定密鑰庫(kù)的名稱。密鑰庫(kù)其實(shí)是存放密鑰和證書的文件，密鑰庫(kù)對(duì)應(yīng)的文件 如果不存在自動(dòng)創(chuàng)建。-validity 證書的有效日期，默認(rèn)是 90 天-keypass changeit 不添加證書密碼-storepass changeit e不添加存儲(chǔ)證書問(wèn)價(jià)的密碼（證書要加密的話去掉后面的兩項(xiàng)）輸入相關(guān)信息后 最后確認(rèn) 便會(huì)在 tomcat 根目錄下生成

3、server.keystore 文件。2. 將證書導(dǎo)入的 JDK 的證書信任庫(kù)中 :導(dǎo)入過(guò)程分 2 步，第一步是導(dǎo)出證書，第二步是導(dǎo)入到證書信任庫(kù)，命令如下：keytool -export -trustcacerts -alias tomcat -file server.cer -keystore server.keystore-storepass changeit-file server.cer證書文件所在的地址-keystore證書存儲(chǔ)器所在的地址-storepass keystore 的密碼keytool -import -trustcacerts -alias tomcat -file

4、 server.cer -keystore cacerts -storepass changeit如果有提示，輸入 Y就可以了。這步對(duì)于Tomcat的SSL配置不是必須，但對(duì)于CAS SSO是必須的，否則會(huì)出現(xiàn)如下錯(cuò)誤： edu.yale.its.tp.cas.clie nt.CASAuthe nticati on Exceptio n: Un able to validate ProxyTicketValidator。其他有用keytool命令（列出信任證書庫(kù)中所有已有證書，刪除庫(kù)中某個(gè)證書）：keytool -list -keystore tomcat.keystore刪除證書keytoo

5、l -delete -trustcacerts -aliastomcat -keystore D:/sdks/jdk1.5.0_11/jre/lib/security/cacerts -storepass changeit3. 配置 TOMCAT :修改TOMCAT_HOME%confserver.xml，以文字編輯器打開(kāi)，查找這一行：xml代碼<!- Defi ne a SSL HTTP/1.1 Conn ector on port 8443 ->將之后的那段的注釋去掉，并加上keystorePass及keystoreFile屬性。注意，tomcat不同版本配置是不同的：Tomc

6、at4.1.34 配置：xml代碼<!- Define a SSL Coyote HTTP/1.1 Conn ector on port 8443 -><Conn ector className="org.apache.coyote.tomcat4.CoyoteC onn ector"port="8443"enableLookups="true" scheme="https" secure="true"acceptCount="100"useURIValid

7、ationHack="false" disableUploadTimeout="true"clientAuth="false" sslProtocol="TLS"keystoreFile="server.keystore" keystorePass="changeit"/>Tomcat5.5.9 配置：xml 代碼<!- Define a SSL HTTP/1.1 Connector on port 8443 -><Connector port=&qu

8、ot;8443" maxHttpHeaderSize="8192"maxThreads="150" minSpareThreads="25" maxSpareThreads="75"enableLookups="false" disableUploadTimeout="true"acceptCount="100" scheme="https" secure="true"clientAuth="fa

9、lse" sslProtocol="TLS"keystoreFile="server.keystore"keystorePass="changeit"/>Tomcat6.0 配置<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" cli

10、entAuth="false" sslProtocol="TLS" keystoreFile="server.keystore" keystorePass="000000" truststoreFile="server.keystore" truststorePass="000000"/>4 注意事項(xiàng)：或者晚于有（1）生成證書的時(shí)間， 如果 IE 客戶端所在機(jī)器的時(shí)間早于證書生效時(shí)間， 效時(shí)間， IE 會(huì)提示“該安全證書已到期或還未生效”2)如果 IE 提示“安全證書上

11、的名稱無(wú)效或者與站點(diǎn)名稱不匹配”，則是由生成證書時(shí)填寫的服務(wù)器所在主機(jī)的域名“您的名字與姓氏是什么？” /“ What is your first and last name?'不正確引起的5、遺留問(wèn)題：(1) 如果AC主機(jī)不能通過(guò)域名查找，必須使用IP,但是這個(gè)IP只有在配置后才能確定， 這樣證書就必須在 AC 確定 IP 地址后才能生成(2) 證書文件只能綁定一個(gè) IP地址，假設(shè)有50和50兩個(gè)IP地址， 在證書生成文件時(shí)，如使用了 50，通過(guò)IE就只能使用50來(lái)訪問(wèn)AC-WEB， 50 是無(wú)法訪問(wèn) AC-WEB 的。