Tomcat_5.5 _通配符SSL證書詳細(xì)操作指南
Tomcat 5.5 通配符SSL 證書詳細(xì)操作指南概述:本文講述如何生成通配符SSL 證書, 以及如何在Tomcat 中進(jìn)行配置SSL 并映射單個域名到指定的應(yīng)用, 以及如何同時啟用HTTPS 和H
Tomcat 5.5 通配符SSL 證書詳細(xì)操作指南
概述:本文講述如何生成通配符SSL 證書, 以及如何在Tomcat 中進(jìn)行配置SSL 并映射單個域名到指定的應(yīng)用, 以及如何同時啟用HTTPS 和HTTP 的端口監(jiān)聽.
環(huán)境: Windows XP / Cent OS 5, Tomcat 5.5, JDK 1.5/1.6
2010-12-18
,目錄
1. 注冊/創(chuàng)建需要的域名 . ........................................................................................................................ 3
2. 生成服務(wù)器證書 .................................................................................................................................. 3
3. 修改Tomcat 的server.xml 啟用SSL ................................................................................................... 6
4. 啟動服務(wù)器 .......................................................................................................................................... 8
5. 使用瀏覽器進(jìn)行訪問測試并導(dǎo)入信任證書 . ...................................................................................... 8
6. 將www.beansoft.net 和bbs.beansoft.net 映射到單獨的Web 應(yīng)用 ........................................... 16
7. 附錄 .................................................................................................................................................... 16
KeyTool IUI home page http://yellowcat1.free.fr/index_ktl.html . ........................................................... 16
,1. 注冊/創(chuàng)建需要的域名
可注冊購買域名或者在本機創(chuàng)建虛擬域名, 例如本文作者通過修改Hosts 文件創(chuàng)建了兩個二級域名: www.beansoft.net 和 bbs.beansoft.net, 如下圖所示:
2. 生成服務(wù)器證書
使用JDK 自帶的KeyTool 工具生成通配符證書, 打開控制臺, 轉(zhuǎn)向 Tomcat 所在目錄, 執(zhí)行下面的命令:
cd E:Javaapache-tomcat-5.5.27
keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600
, 如下圖所示:
注意交互過程:
名字與姓氏, 也就是CN, 必須輸入和服務(wù)器一致的域名(如www.beansoft.net) 或者真實IP, 否則這個證書在瀏覽器中顯示的時候, 一直會報警 名稱和站點不符合, 即使加入了受信任站點也無濟(jì)于事. 通配符的域名證書輸入 *.beansoft.net 即可.
執(zhí)行完畢后, 會在當(dāng)前目錄出現(xiàn)一個文件 server.keystore. 如下圖所示:
3. 修改Tomcat 的server.xml 啟用SSL
修改TOMCAT_HOMEconfserver.xml, 找到如下的定義:
在后面添加一個新的定義:
使用的文件就是 server.keystore, 密碼要和創(chuàng)建證書時保持一致.
需要注意的是我這里只給出了必填的選項, 其它參數(shù)如 maxHttpHeaderSize 等都可在此處進(jìn)行配置.
這時候, 服務(wù)器已經(jīng)同時啟用了HTTP 和HTTPS, 如果不需要HTTP 服務(wù), 只需要注釋掉8080的Connector 定義即可.
為了便于對比, 下面列出完整的server.xml 的最小配置:
4. 啟動服務(wù)器
采用上面的配置, 啟動Tomcat 服務(wù)器, 可看到日志輸出如下:
服務(wù)器成功啟動, 同時監(jiān)聽了普通的HTTP 以及HTTPS 服務(wù).
5. 使用瀏覽器進(jìn)行訪問測試并導(dǎo)入信任證書
我們這里使用的瀏覽器是IE8.
下面首先訪問HTTP 服務(wù), 沒有任何問題:
接著嘗試HTTPS 服務(wù): 或者 , 兩個地址都可以看到證書報警:
點擊
,
那么如何避免以后訪問時再次報警呢? 有兩個辦法, 第一個辦法是去購買正規(guī)機構(gòu)頒發(fā)的數(shù)字證書, 需要Money; 第二個辦法就是導(dǎo)入證書. 此時的瀏覽器窗口如下所示:
點擊 地址欄 右側(cè)的證書錯誤, 可彈出證書錯誤的詳情, 接下來點擊 “查看證書”,