linux中tomcat中https配置
Ubuntu下利用JDK的Keytool配置Tomcat7.0的SSL協議:
1.用JDK自帶的Keytool生成伺服器證書:
1)開啟終端控制檯,轉向tomcat主目錄,執行生成keystore檔案命令:
keytool -genkey -alias tomcat -keyalg RSA -keypass tomcat -storepass tomcat -keystore server.keystore -validity 3600
——在tomcat主目錄下生成server.keystore檔案;
2)根據keystore檔案產生的證書請求,向CA申請伺服器數字證書:
keytool -export -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass tomcat
——在tomcat主目錄下生成server.cer檔案;
3)將資訊中心簽發的伺服器證書server.cer匯入到server.keystore檔案:
keytool -import -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass tomcat
2.用JDK自帶的Keytool生成客戶端證書:
1)為支援證書順利匯入到IE和Firefor,證書格式為PKCS12,命令如下:
keytool -genkey -v -alias client -keyalg RSA -storetype PKCS12 -validity 3600 -keystore client.p12 -storepass client -keypass client
——在tomcat主目錄下生成client.p12檔案;
2)讓伺服器信任客戶端證書:
雙向SSL認證,伺服器要信任客戶端證書,因此要把客戶端證書新增為伺服器的信任認證,由於不能直接將PKCS12格式的證書匯入,要先把客戶端證書匯出為一個單獨的CER檔案,命令:
keytool -export -alias client -keystore client.p12 -storetype PKCS12 -storepass client -rfc -file client.cer
——在tomcat主目錄下生成client.cer檔案;
將client.cer匯入到伺服器的證書庫server.keystore,新增為一個信任證書:
keytool -import -v -file client.cer -keystore server.keystore -storepass tomcat
——認證已新增至keystore中
3)通過list命令檢視伺服器的證書庫,可以看到兩個輸入,一個是伺服器證書,一個是受信任的客戶端證書:
keytool -list -keystore server.keystore -storepass tomcat
4)刪除命令:keytool -delete -alias myKey -keystore server.keystore -storepass tomcat
3.修改tomcat配置:conf/server.xml