Tomcat的HTTPS配置整理版.docxVIP

Tomcat的SSL配置 前提是：保证JDK的环境变量配置正确，能够在任何文件夹下使用 java命令 ? 生成 server key 以命令行方式切换到目录 tomcat 所在的根目录下，在 command 命令行输入如下命令 （ jdk1.4 以上带的工具） ： keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit - keystore server.keystore -validity 3600 keytool -enkey 将自动使用默认的算法生成公钥和私钥 -alias [ 名称] 给证书取个别名 -keyalg 指定密钥的算法，如果需要指定密钥的长度，可以再加上 keysize 参数。密钥长度默认为 1024 位，使用 DSA 算法时，密钥长度必须在 512 到 1024 之间，并且是 64 的整数倍 -keystore 参数可以指定密钥库的名称。密钥库其实是存放密钥和证书的文件，密钥库对应的文件 如果不存在自动创建。 -validity 证书的有效日期，默认是 90 天 -keypass changeit不添加证书密码 -storepass changeit e不添加存储证书问价的密码（证书要加密的话去掉后面的两项） 输入相关信息后 最后确认 便会在tomcat根目录下生成server.keystore文件。 2. 将证书导入的 JDK 的证书信任库中 : 导入过程分 2步，第一步是导出证书，第二步是导入到证书信任库，命令如下： keytool -export -trustcacerts -alias tomcat -file server.cer -keystore server.keystore - storepass changeit -file server.cer 证书文件所在的地址 -keystore 证书存储器所在的地址 -storepass keystore 的密码 keytool -import -trustcacerts -alias tomcat -file server.cer -keystore cacerts -storepass changeit 如果有提示，输入 Y就可以了。 这步对于Tomcat的SSL配置不是必须，但对于 CAS SSO是必须的，否则会出现如 下错误： edu.yale.its.tp.cas.clie nt.CASAuthe nticati on Exceptio n: Un able to validate ProxyTicketValidator。。。 其他有用keytool命令（列出信任证书库中所有已有证书，删除库中某个证书） ： keytool -list -keystore tomcat.keystore 删除证书 keytool -delete -trustcacerts -alias tomcat - keystore D:/sdks/jdk1.5.0_11/jre/lib/security/cacerts -storepass changeit 3.配置 TOMCAT : 修改％TOMCA T_HOME%\conf\server.xml，以文字编辑器打开，查找这一行： xml代码 !-- Defi ne a SSL HTTP/1.1 Conn ector on port 8443 -- 将之后的那段的注释去掉，并加上 keystorePass及keystoreFile属性。 注意，tomcat不同版本配置是不同的： Tomcat4.1.34 配置： xml代码 !-- Define a SSL Coyote HTTP/1.1 Conn ector on port 8443 -- Conn ector className=org.apache.coyote.tomcat4.CoyoteC onn ector port=8443 en ableLookups=true scheme=https secure=true acceptCo un t=100 useURIValidatio nH ack=false disableUploadTimeout=true clientAuth=false sslProtocol=TLS keystoreFile=server.keystore keystorePass=cha ngeit/ Tomcat5.5.9 配置： xml代码 !-- Defi ne a SSL HTTP/1.1 Conn ector on port 8443 -- Co nn ector port=8443 maxHttpHeader