tomcat配置SSL双向认证.docVIP

tomcat配置SSL双向认证 Tomcat配置SSL的双向认证 证书保存在服务器端，用户通过浏览器访问时，需要将证书下载保存到本地，表示信任服务器。 同样浏览器中的证书也需要保存到服务器的证书库中，表明当前浏览器的证书是可信的。 环境：tomcat-6.0.18、jdk1.6.0_18 1. 为服务器生成证书 使用keytool 为Tomcat 生成证书，假定目标机器的域名是localhost，keystore 文件存放在e:\keytool\tomcat.keystore,口令为aaaaaaa，使用如下命令生成： C:\java\jdk1.6.0_18\binkeytool -genkeypair -v -alias tomcat -keyalg RSA -keystore e:\keytool\tomcat.keystore -dname CN =localhost,OU=hansky,O=cr,ST=bj,C=zh_cn -storepass aaaaaaa -keypass aaaaaaa 正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)（有效期为 90 天）: CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn [正在存储 e:\keytool\tomcat.keystore] 如果Tomcat 所在服务器的域名不是localhost，应改为对应的域名，如，否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入localhost。 2. 生成客户端证书 为浏览器生成证书，以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox，证书格式应该是PKCS12，因此，使用如下命令生成： C:\java\jdk1.6.0_18\binkeytool -genkeypair -v -alias lcl -keyalg RSA -storetype PKCS12 -keystore e:\keytool\lcl.p12 -dname CN=lcl,OU=lc,O=r,L=bj,ST=bj,C=zh_cn -storepass aaaaaaa -keypass aaaaaaa 正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)（有效期为 90 天）: CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn [正在存储 e:\keytool\lcl.p12] 对应的证书库存放在e:\keytool\lcl.p12，客户端的CN可以是任意值。稍候，我们将把这个my.p12证书库导 入到IE 和Firefox 中。 3. 让服务器信任客户端证书 由于是双向SSL 认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任认证。 由于不能直接将PKCS12 格式的证书库导入，我们必须先把客户端证书导出为一个单独的CER 文件，使用如下 命令： C:\java\jdk1.6.0_18\binkeytool -exportcert -alias lcl -keystore e:\keytool\lcl.p12 -storetype PKCS12 -storepass aaaaaaa -rfc -file e:\keytool\lcr.cer 保存在文件中的认证 e:\keytool\lcr.cer 通过以上命令，客户端证书就被我们导出到e:\keytool\lcr.cer文件了。下一步，是将该文件导入到服务器的证书库，添加为一个信任证书： C:\java\jdk1.6.0_18\binkeytool -importcert -v -file e:\keytool\lcr.cer -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa 所有者:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn 签发人:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn 序列号:4cd90399 有效期: Tue Nov 09 16:17:29 CST 2010 至Mon Feb 07 16:17:29 CST 2011 证书指纹: