Tomcat 5.5 通配符SSL 證書詳細(xì)操作指南(圖文)本文講述如何生成通配符SSL 證書, 以及如何在Tomcat 中進(jìn)行配置SSL 并映射單個域名到指定的應(yīng)用, 以及如何同時啟用HTTPS

Tomcat 5.5 通配符SSL 證書詳細(xì)操作指南(圖文)

本文講述如何生成通配符SSL 證書, 以及如何在Tomcat 中進(jìn)行配置SSL 并映射單個域名到指定的應(yīng)用, 以及如何同時啟用HTTPS 和HTTP 的端口監(jiān)聽.

環(huán)境: Windows XP / Cent OS 5, Tomcat 5.5, JDK 1.5/1.6

劉長炯 beansoft@126.com

2009-10-16

目錄

1. 注冊/創(chuàng)建需要的域名..............................................................................................................3

2. 生成服務(wù)器證書.......................................................................................................................3

3. 修改Tomcat 的server.xml 啟用SSL...........................................................................................6

4. 啟動服務(wù)器...............................................................................................................................7

5. 使用瀏覽器進(jìn)行訪問測試并導(dǎo)入信任證書...........................................................................7

6. 將www.beansoft.net 和bbs.beansoft.net 映射到單獨(dú)的Web 應(yīng)用.........................................14

7. 附錄.........................................................................................................................................14

1. 注冊/創(chuàng)建需要的域名

可注冊購買域名或者在本機(jī)創(chuàng)建虛擬域名, 例如本文作者通過修改Hosts 文件創(chuàng)建了兩個二級域名: www.beansoft.net 和 bbs.beansoft.net, 如下圖所示:

2. 生成服務(wù)器證書

使用JDK 自帶的KeyTool 工具生成通配符證書, 打開控制臺, 轉(zhuǎn)向 Tomcat所在目錄, 執(zhí)行下面的命令: cd E:Javaapache-tomcat-5.5.27

keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600

, 如下圖所示:

注意交互過程:

您的名字與姓氏是什么？

[Unknown]： *.beansoft.net

您的組織單位名稱是什么？

[Unknown]： BeanSoft@126.com

您的組織名稱是什么？

[Unknown]： BeanSoft Java Blog

您所在的城市或區(qū)域名稱是什么？

[Unknown]： Beijing

您所在的州或省份名稱是什么？

[Unknown]： Beijing

該單位的兩字母國家代碼是什么

[Unknown]： cn

CN=*.beansoft.net, OU=BeanSoft@126.com, O=BeanSoft Java Blog, L=Beijing, ST=Beij ing, C=cn 正確嗎？

[否]： y

名字與姓氏, 也就是CN, 必須輸入和服務(wù)器一致的域名(如www.beansoft.net) 或者真實IP, 否則這個證書在瀏覽器中顯示的時候, 一直會報警 名稱和站點(diǎn)不符合, 即使加入了受信任站點(diǎn)也無濟(jì)于事. 通配符的域名證書輸入 *.beansoft.net 即可.

執(zhí)行完畢后, 會在當(dāng)前目錄出現(xiàn)一個文件 server.keystore. 如下圖所示:

3. 修改Tomcat 的server.xml 啟用SSL 修改TOMCAT_HOMEconfserver.xml, 找到如下的定義:

maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" redirectPort="8443" acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true" />

在后面添加一個新的定義:

使用的文件就是 server.keystore, 密碼要和創(chuàng)建證書時保持一致.

需要注意的是我這里只給出了必填的選項, 其它參數(shù)如 maxHttpHeaderSize 等都可在此處進(jìn)行配置.

這時候, 服務(wù)器已經(jīng)同時啟用了HTTP 和HTTPS, 如果不需要HTTP 服務(wù), 只需要注釋掉8080的Connector 定義即可.

為了便于對比, 下面列出完整的server.xml 的最小配置:

type="org.apache.catalina.UserDatabase"

description="User database that can be updated and saved"

factory="org.apache.catalina.users.MemoryUserDatabaseFactory" pathname="conf/tomcat-users.xml" />

resourceName="UserDatabase" />

4. 啟動服務(wù)器

采用上面的配置, 啟動Tomcat 服務(wù)器, 可看到日志輸出如下: 2009-10-16 10:58:59 org.apache.coyote.http11.Http11BaseProtocol init

信息: Initializing Coyote HTTP/1.1 on http-80

2009-10-16 10:59:00 org.apache.coyote.http11.Http11BaseProtocol init

信息: Initializing Coyote HTTP/1.1 on http-443

2009-10-16 10:59:00 org.apache.catalina.startup.Catalina load

信息: Initialization processed in 734 ms

2009-10-16 10:59:00 org.apache.catalina.core.StandardService start

信息: Starting service Catalina

2009-10-16 10:59:00 org.apache.catalina.core.StandardEngine start

信息: Starting Servlet Engine: Apache Tomcat/5.5.27

2009-10-16 10:59:00 org.apache.catalina.core.StandardHost start

信息: XML validation disabled

2009-10-16 10:59:01 org.apache.coyote.http11.Http11BaseProtocol start

信息: Starting Coyote HTTP/1.1 on http-80

2009-10-16 10:59:01 org.apache.coyote.http11.Http11BaseProtocol start

信息: Starting Coyote HTTP/1.1 on http-443

2009-10-16 10:59:01 org.apache.catalina.startup.Catalina start

信息: Server startup in 719 ms

服務(wù)器成功啟動, 同時監(jiān)聽了普通的HTTP 以及HTTPS 服務(wù).

5. 使用瀏覽器進(jìn)行訪問測試并導(dǎo)入信任證

書

我們這里使用的瀏覽器是IE8.

下面首先訪問HTTP 服務(wù), 沒有任何問題:

接著嘗試HTTPS 服務(wù): 或者 , 兩個地址都可以看到證書報警

:

點(diǎn)擊 繼續(xù)瀏覽此網(wǎng)站(不推薦) 。 繼續(xù)瀏覽此頁面.

那么如何避免以后訪問時再次報警呢? 有兩個辦法, 第一個辦法是去購買正規(guī)機(jī)構(gòu)頒發(fā)的數(shù)字證書, 需要Money; 第二個辦法就是導(dǎo)入證書. 此時的瀏覽器窗口如下所示

:

點(diǎn)擊 地址欄 右側(cè)的證書錯誤, 可彈出證書錯誤的詳情, 接下來點(diǎn)擊 “查看證書

”,

再點(diǎn)擊下方的 “安裝證書” 按鈕, 彈出安裝證書向?qū)?

點(diǎn)擊下一步, 出現(xiàn)證書存儲對話框:

默認(rèn)選中的是上方的單選鈕 自動選擇證書存儲區(qū), 我們需要把它放入受信任的系統(tǒng)證書中區(qū), 因此需要點(diǎn)擊下方的單選鈕 將所有的證書放入下列存儲區(qū), 并點(diǎn)擊瀏覽按鈕, 彈出如下的向?qū)?