在Java 環(huán)境中配置SSL 雙向認證在Java 環(huán)境中配置Https 雙向認證，需要使用JDK 自帶的keytool 工具，在命令行方式下，生成服務(wù)器證書申請文CSR ，然后到CA 簽發(fā)服務(wù)器證書。

在Java 環(huán)境中配置SSL 雙向認證

在Java 環(huán)境中配置Https 雙向認證，需要使用JDK 自帶的keytool 工具，在命令行方式下，生成服務(wù)器證書申請文CSR ，然后到CA 簽發(fā)服務(wù)器證書。

以下為在Tomcat 和Weblogic 中配置Https 雙向認證的步驟，環(huán)境為JDK1.5。

1．在Tomcat 中配置HTTPS 雙向認證

在Tomcat5.0中配置Https 雙向認證的步驟如下：

1． 產(chǎn)生keystore 文件：

keytool -genkey -alias tomcat -keyalg RSA -keystore keystore

此時可在當前目錄下看到keystore 文件。

申請服務(wù)器證書時，CN 需要和網(wǎng)站的域名或者IP 相同，否則IE7會認為該證書是為別的網(wǎng)站頒發(fā)的。

2． 生成服務(wù)器證書申請文件CSR ：

keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore

此時可在當前目錄下看到文件certreq.csr 。

把certreq.csr 文件內(nèi)容和DN 提交到CA 管理員，即可申請到服務(wù)器證書。

DN 為：CN=192.168.1.25, OU=research, O=cwca, L=YC, ST=NX, C=CN。

從CA 獲得的服務(wù)器證書為user.p7b ，可從其中分別導出base64格式的根證和服務(wù)器證書：NXCA.cer 和client.cer 。

3． 將根證書導入到keystore 文件中：

keytool -import -trustcacerts -alias root -file NXCA.cer -keystore keystore

4． 將服務(wù)器證書導入到keystore 文件中：

keytool -import -alias tomcat -file client.cer -keystore keystore

5. 進行Tomcat 的配置：

把keystore 文件拷入?TALINA_HOME/conf目錄下；

修改文件?TALINA_HOME/conf/server.xml,知道

keystoreFile="/conf/keystore" keystorePass="12345678"

truststoreFile="/conf/keystore" truststorePass="12345678"

修改結(jié)果如下圖：

6． 啟動Tomcat ，輸入https://192.168.1.25:8443/，即可訪問應(yīng)用；

Https 默認端口為443，如果把監(jiān)聽端口改為443，則訪問時就不需要加端口號了。

Tomcat5.0和Tomcat6.0的配置過程相同。 如果clientAuth="false"，則服務(wù)器不需要客戶端證書； 如果clientAuth="true"，則客戶端必須提供證書才能進行訪問。

2．在Weblogic 中配置HTTPS 雙向認證

在Weblogic8.1中配置Https 雙向認證的步驟如下：

1． 產(chǎn)生keystore 文件：

keytool -genkey -alias weblogic -keyalg RSA -keystore weblogic.jks

此時可在當前目錄下看到weblogic.jks 文件。

2. 生成服務(wù)器證書申請文件CSR ：

keytool -certreq -keyalg RSA -alias weblogic -file certreq.csr -keystore

weblogic.jks

此時可在當前目錄下看到文件certreq.csr 。

把certreq.csr 文件內(nèi)容和DN 提交到CA 管理員，即可申請到服務(wù)器證書。

DN 為：CN=192.168.1.25, OU=research, O=cwca, L=YC, ST=NX, C=CN。

從CA 獲得的服務(wù)器證書為user.p7b ，可從其中分別導出base64格式的根證和服務(wù)器證書：NXCA.cer 和TESTSERVER.cer 。

3. 導入根證書NXCA.cer 到weblogic.jks 中

keytool -import -alias testroot -trustcacerts -file NXCA.cer -keystore weblogic.jks

4. 導入服務(wù)器證書TESTSERVER.cer 到weblogic.jks 中

keytool -import -trustcacerts -alias weblogic -file TESTSERVER.cer -keystore

weblogic.jks

5. 進入Weblogic 管理頁面進行配置：

A. 進入Weblogic 控制臺：http://localhost:7001/console

B. 選擇：mydomain->Servers->myserver->General頁面，找到屬性：SSL Listen Port Enabled ，將其選中，如圖：

在此可以修改SSL 監(jiān)聽端口為443。 C. 進入D:?aweblogic81目錄，新建文件夾jks ，把weblogic.jks 拷入其中。 D. 進入myserver->Keystores & SSL頁面，做如下配置：

屬性Keystore Configuration-> Identity中：

Custom Identity Keystore的值為：D:?aweblogic81jksweblogic.jks；

Type 值為：jks ；

輸入兩次Keystore 密碼；

屬性Keystore Configuration-> Trust 的屬性值和Identity 相同； 屬性SSL Configuration->Identity中：

Private Key Alias的值為Keystore 的別名weblogic ；

輸入兩次Keystore 密碼；

配置如下圖：

配置完成，點擊頁面右下角的Apply 即可。

E. 以上為SSL 單項認證，如果要配置SSL 雙向認證，在Keystores & SSL 頁面中： 點擊屬性Advanced Options的show ，如圖：

找到屬性Two Way Client Cert Behavior，

將其值改為：Client Certs Requested And Enforced，

如圖：

點擊頁面右下角的Apply 即可。

F. 重啟Weblogic 服務(wù)，在IE 地址欄中輸入：https://192.168.1.25/ROOT/index.jsp， 即可訪問應(yīng)用。

Weblogic8.1以上版本與此配置方法相同。

3．在Websphere6.1中配置HTTPS 雙向認證

1. 產(chǎn)生keystore 文件：

keytool -genkey -alias server -keyalg RSA -keystore keystore

2. 生成服務(wù)器證書申請文件CSR ：

keytool -certreq -keyalg RSA -alias server -file certreq.csr -keystore keystore

3. 將根證書導入到keystore 文件中：

keytool -import -trustcacerts -alias root -file NXCA.cer -keystore keystore

4. 將服務(wù)器證書導入到keystore 文件中：

keytool -import -alias tomcat -file client.cer -keystore keystore

5. Webphere6.1雙向認證設(shè)置，打開Webphere6.1控制臺，點擊左側(cè)窗口安全性，點開后里邊

有ssl 證書和密鑰管理選項點擊它。

然后點擊管理端點安全配置，點擊

點擊密鑰庫和證書，然后點擊新建

新建密鑰庫和證書，

填入名稱，keystore 文件的路徑，keystore 文件的密碼，類型選為jks