配置支持SSL的Tomcat完整.doc

配置支持SSL的Tomcat

一、配置环境

1.1Tomcat简介

Tomcat是ApacheJakarta的子项目之一，作为一个优秀的开源web应用服务器，全面支持jsp1.2以及servlet2.3规范。因其技术先进、性能稳定，而且免费，因而深受Java爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的web应用服务器。

1.2SSL(ServerSocketLayer)简介

在网络上信息在源-宿的传递过程中会经过其它的计算机。一般情况下，中间的计算机不会监听路过的信息。但在使用网上银行或者进行信用卡交易的时候有可能被监视，从而导致个人隐私的泄露。由于Internet和Intranet体系结构的原因，总有某些人能够读取并替换用户发出的信息。随着网上支付的不断发展，人们对信息安全的要求越来越高。因此Netscape公司提出了SSL协议，旨在达到在开放网络(Internet)上安全保密地传输信息的目的，这种协议在WEB上获得了广泛的应用。之后IETF()对SSL作了标准化，即RFC2246，并将其称为TLS（TransportLayerSecurity），从技术上讲，TLS1.0与SSL3.0的差别非常微小。

1.3SSL工作原理

SSL协议使用不对称加密技术实现会话双方之间信息的安全传递。可以实现信息传递的保密性、完整性，并且会话双方能鉴别对方身份。不同于常用的http协议，我们在与网站建立SSL安全连接时使用https协议，即采用https://ip:port/的方式来访问。

当我们与一个网站建立https连接时，我们的浏览器与WebServer之间要经过一个握手的过程来完成身份鉴定与密钥交换，从而建立安全连接。具体过程如下：

用户浏览器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送到服务器。

服务器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送给浏览器，同时发给浏览器的还有服务器的证书。如果配置服务器的SSL需要验证用户身份，还要发出请求要求浏览器提供用户证书。

客户端检查服务器证书，如果检查失败，提示不能建立SSL连接。如果成功，那么继续。

客户端浏览器为本次会话生成pre-mastersecret，并将其用服务器公钥加密后发送给服务器。

如果服务器要求鉴别客户身份，客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。

如果服务器要求鉴别客户身份，则检查签署客户证书的CA是否可信。如果不在信任列表中，结束本次会话。如果检查通过，服务器用自己的私钥解密收到的pre-mastersecret，并用它通过某些算法生成本次会话的mastersecret。

客户端与服务器均使用此mastersecret生成本次会话的会话密钥(对称密钥)。在双方SSL握手结束后传递任何消息均使用此会话密钥。这样做的主要原因是对称加密比非对称加密的运算量低一个数量级以上，能够显著提高双方会话时的运算速度。

客户端通知服务器此后发送的消息都使用这个会话密钥进行加密。并通知服务器客户端已经完成本次SSL握手。

服务器通知客户端此后发送的消息都使用这个会话密钥进行加密。并通知客户端服务器已经完成本次SSL握手。

本次握手过程结束，会话已经建立。双方使用同一个会话密钥分别对发送以及接受的信息进行加、解密。

1.4所需软件包

Tomcat4.0.6

用途：WebServer。

下载：/builds/jakarta-tomcat-4.0/release/v4.0.6/bin/jakarta-tomcat-4.0.6.exe

JDK1.4.1_02

其中已经包含了JSSE的最新版本。

JSSE1.0.3_01

用途：用来产生Tocmcat使用的密钥对(keystore)。

下载：/products/jsse/

Openssl0.9.7b

用途：用来产生CA证书、签名并生成IE可导入的PKCS#12格式私钥。

下载：/

1.5软件包的安装

Tomcat4.0.6安装（略）

JSSE1.0.3_01安装

确定有JDK1.2以上版本(java-version)；

下载JSSE (注意，JDK1.4已经自带JSSE了，不需要)，一般来说都只能download全球版本（还有个版本是美国/加拿大版本，加密位数没有限制）；

安装JSSE，主要是把JSSE包内的lib/*.jar拷贝到JAVA_HOME/jre/lib/ext/下，并且加入到CLASSPATH中；

编辑JAVA_HOME/jre/lib/security/java.security文件，主要是添加：

vider.1=vider