康赛企业级数据清洗与整合系统软件实施培训课件.ppt

1、生成服务器证书库 keytool -validity 1095 -genkey -v -alias server -keyalg RSA -keystore E:\ssl\server.keystore -dname CN=,OU=DCI,O=comsys,L=chengdu,ST=sichuan,c=ZH -storepass 123456 -keypass 123456 服务端的密钥库参数“CN”必须与服务端的IP地址相同，否则会报错，客户端的任意。 2、生成客户端证书库 keytool -validity 1095 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore E:\ssl\client.p12 -dname CN=DCI,OU=DCI,O=comsys,L=chengdu,ST=sichuan,c=ZH -storepass 123456 -keypass 123456 3、从客户端证书库中导出客户端证书 keytool -export -v -alias client -keystore E:\ssl\client.p12 -storetype PKCS12 -storepass 123456 -rfc -file E:\ssl\client.cer 4、从服务器证书库中导出服务器证书 keytool -export -v -alias server -keystore E:\ssl\server.keystore -storepass 123456 -rfc -file E:\ssl\server.cer 5、生成客户端信任证书库(由服务端证书生成的证书库) keytool -import -v -alias server -file E:\ssl\server.cer -keystore E:\ssl\client.truststore -storepass 123456 信任这个认证，输入Y 6、将客户端证书导入到服务器证书库(使得服务器信任客户端证书) keytool -import -v -alias client -file E:\ssl\client.cer -keystore E:\ssl\server.keystore -storepass 123456 信任这个认证，输入Y 7、查看证书库中的全部证书 keytool -list -keystore E:\ssl\server.keystore -storepass 123456 8、TOMCAT配置 使用文本编辑器编辑${catalina.base}/conf/server.xml 找到Connector port=8443的标签，取消注释，并修改成如下：Connector port=8443 protocol=HTTP/1.1 SSLEnabled=true maxThreads=150 scheme=https secure=true clientAuth=false sslProtocol=TLS keystoreFile=${catalina.base}/key/server.keystore keystorePass=123456 truststoreFile=${catalina.base}/key/server.keystore truststorePass=123456“ keystoreFile：指定服务器密钥库，可以配置成绝对路径，如“D:/key/server.keystore”，本例中是在Tomcat目录中创建了一个名称为key的文件夹，仅供参考。 keystorePass：密钥库生成时的密码 truststoreFile：受信任密钥库，和密钥库相同即可 truststorePass：受信任密钥库密码 9、web.xml配置强制SSL 强制SSL配置，即普通的请求也会重定向为SSL请求 /*:全站使用SSL CONFIDENTIAL: 要保证服务器和客户端之间传输的数据不能够被修改，且不能被第三方查看到 INTEGRAL: 要保证服务器和client之间传输的数据不能够被修改 NONE: 指示容器必须能够在任一的连接上提供数据。（即用HTTP或HTTPS，由客户端来决定） security-constraintweb-resource-collection web-resource-nameUT/web-resource-name url-pattern/*/url-pattern /web-resource-collection user-data-constraint descriptionSSL r