tomca增加https访问配置方案.doc

客户没有证书，证书自己生成： 第一步：为服务器生成证书 使用keytool 为 Tomcat 生成证书，假定目标机器的域名是“ localhost ”， keystore 文件存放在“E:\key\tomcat.keystore ”，口令为“smartdot123456”，使用如下命令生成： keytool?-genkey?-v?-alias?tomcat?-keyalg?RSA?-keysize?2048??-validity?3650??-keystore?E:\key\tomcat.keystore -dname?CN=27,OU=cn,O=smartdot,L=cn,ST=cn,c=cn?-storepass?smartdot123456?-keypass?smartdot123456? 第二步：生成csr文件用于提交CA认证生成证书使用? keytool?-certReq?-alias?tomcat?-keystore?e:\key\tomcat.keystore? -storepass smartdot123456 -file?e:\key\tomcat.csr 第三步：这个tomcat.cer是为了解决不信任时要导入的? keytool?-export?-alias?tomcat?-keystore?e:\key\tomcat.keystore?-file?e:\key\tomcat.cer?-storepass?smartdot123456 第四步：配置Tomcat 服务器? 打开Tomcat 根目录下的 /conf/server.xml ，找到如下配置段，修改如下：? tomcat 7 Connector port=443 protocol=HTTP/1.1 SSLEnabled=true maxThreads=150 scheme=https secure=true ciphers=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA keystoreFile=e:/key/smartdot.store keystorePass=smartdot123456 clientAuth=false sslProtocol=TLS / tomcat 6 Connector port=443 protocol=org.apache.coyote.http11.Http11Protocol SSLEnabled=true maxThreads=150 scheme=https secure=true ciphers=TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA keystoreFile= e:/key/smartdot.store keystorePass=smartdot123456 clientAuth=false sslProtocol=TLS / 第五步：web.xml 修改 应用程序的web.xml 可以加上这句话： 具体web系统? login-config !-- Authorization setting for SSL -- auth-methodCLIENT-CERT/auth-method realm-nameClient Cert Users-only Area/realm-name /login-config security-constraint !-- Authorization setting for SSL -- web-resou