tomcat https配置Tomcat 配置HTTPS 方式(單向), 簡要記錄主要步驟1. 生成服務(wù)器端證書1）進入到j(luò)dk 下的bin 目錄2）輸入如下指令keytool -v -genkey

tomcat https配置

Tomcat 配置HTTPS 方式(單向), 簡要記錄主要步驟

1. 生成服務(wù)器端證書

1）進入到j(luò)dk 下的bin 目錄

2）輸入如下指令

keytool -v -genkey -alias tomcat -keyalg RSA -keystore d:/tomcat.keystore -validity 36500

附：

d:/tomcat.keystore是將生成的tomcat.keystore 放到d 盤根目錄下。 "-validity 36500”含義是證書有效期，36500表示100年，默認值是90天

注意若要放到c 盤，在win7系統(tǒng)下，需要以管理員身份進入到命令行中進行操作，否則是無法創(chuàng)建tomcat.keystore 的。本例放到d 盤下。

如何以管理員身份進入到命令行下呢？開始->搜索框中輸入cmd->等待（注意不回車）->出現(xiàn)cmd.exe->右鍵“以管理員身份運行”即可。

3）輸入keystore 密碼

密碼任意，此處以123456為例，要記住這個密碼，之后在進行server.xml 配置時需要使用。

4）輸入名字、組織單位、組織、市、省、國家等信息

注意事項：

A 、Enter keystore password：此處需要輸入大于6個字符的字符串

B 、“What is your first and last name?”這是必填項，并且必須是TOMCAT 部署主機的域名或者IP[如：gbcom.com 或者 10.1.25.251]，就是你將來要在瀏覽器中輸入的訪問地址

C 、“What is the name of your organizational unit? ”、“What is the name of your organization? ”、“What is the name of your City or Locality?”、“What is the name of your State or Province? ”、“What is the two-letter country code for this unit?”可以按照需要填寫也可以不填寫直接回車，在系統(tǒng)詢問“correct? ”時，對照輸入信息，如果符合要求則使用鍵盤輸入字母“y ”，否則輸入“n ”重新填寫上面的信息

D 、Enter key password for ，這項較為重要，會在tomcat 配置文件中使用，建議輸入與keystore 的密碼一致，設(shè)置其它密碼也可以

l 完成上述輸入后，直接回車則在你在第二步中定義的位置找到生成的文件

5）輸入之后會出現(xiàn)確認的提示

此時輸入y ，并回車。此時創(chuàng)建完成keystore 。

進入到D 盤根目錄下可以看到已經(jīng)生成的tomcat.xml

6）進入tomcat 文件夾

找到conf 目錄下的sever.xml 并進行編輯

7） 編輯server.xml

maxThreads="150" scheme="https" secure="true"

clientAuth="false"

keystoreFile="D:/AppServer/Tomcat/apache-tomcat-6.0.32/conf/tomcat.keystore"

keystorePass="deleiguo" sslProtocol="TLS" />

注：

方框中的keystore 的密碼，就是剛才我們設(shè)置的“123456”.

如果tomcat 配置https 啟動出現(xiàn)"No Certificate file specified or invalid file format"異常， 應(yīng)該和

tomcat

的版本有光，用tomcat6.0.18就不會報這個錯誤，用tomcat6.0.33就會出現(xiàn)這個錯誤。由于6.0.33版本中默認啟用了APR （APR 是通過JNI 訪問的可移植庫，可以提高T omcat 的性能和伸縮性），所以采用傳統(tǒng)的配置方式（如下）會報異常

解決辦法是采用下面的配置：

1.

LEnabled ="true"

2. maxThreads ="150" scheme ="https" secure ="true"

3. clientAuth ="false" sslProtocol ="TLS"

4. keystoreFile ="D:/Tomcat6/server.keystore"

5. keystorePass ="changeit" />

編輯完成后關(guān)閉并保存sever.xml

8）Tomcat 啟動成功后，使用https://127.0.0.1:8443 訪問頁面

頁面成功打開即tomcat 下的https 配置成功。

9）應(yīng)用程序HTTP 自動跳轉(zhuǎn)到HTTPS ，這個可以先不用配置

在應(yīng)用程序中web.xml 中加入：

SSL

/*

CONFIDENTIAL

2. 生成安全證書文件

keytool -export -alias tomcat -file D:/file.cer -keystore d:/tomcat.keystore -validity 36500 然后輸入d:/tomcat.keystore中的keystore 密碼

-file D:/file.cer 即為生成的cer 文件，可直接點擊安裝

1. 注意事項：

（1） 生成證書的時間，如果IE 客戶端所在機器的時間早于證書生效時間，或者晚于有效時間，IE 會提示“該安全證書已到期或還未生效”

（2） 如果IE 提示“安全證書上的名稱無效或者與站點名稱不匹配”，則是由生成證書時填寫的服務(wù)器所在主機的域名“您的名字與姓氏是什么？”/“What is your first and last name? ”不正確引起的

2. 遺留問題：

（1）如果AC 主機不能通過域名查找，必須使用IP ，但是這個IP 只有在配置后才能確定，這樣證書就必須在AC 確定IP 地址后才能生成

（2）證書文件只能綁定一個IP 地址，假設(shè)有10.1.25.250 和 192.168.1.250 兩個IP 地址，在證書生成文件時，如使用了10.1.25.250，通過IE 就只能使用10.1.25.250 來訪問AC-WEB ，192.168.1.250是無法訪問AC-WEB 的。