加油!不要让自己失望!

Windows环境下Tomcat的SSL配置

上一篇 / 下一篇  2011-06-16 10:15:08 / 个人分类:小技术

查看( 747 ) / 评论( 0 ) / 评分( 0 / 0 )
终于搞定了,贴出来我整理的详细配置过程,希望对大家有用。
1.准备工作
  (1)下载安装JDK,我用的JDK1.6
  (2)下载安装OpenSSL
  (3)下载安装Tomcat,我用的是Tomcat6.0
  (4)在C盘下新建一个文件夹ca存放生成的临时文件及证书文件。
  (5)在OpenSSL的安装路径的bin目录下,新建文件openssl.conf,内容如下:
[ req ]
 default_bits           = 1024
 default_keyfile        = keyfile.pem
 distinguished_name     = req_distinguished_name
 attributes             = req_attributes
 prompt                 = no
 output_password        = sgf123456
 [ req_distinguished_name ]
 C                      = GB
 ST                     = Beijing
 L                      = Haidian
 O                      = WebDT
 OU                     = WebDT
 CN                     = WebDT
 emailAddress           =test@test.com
 [ req_attributes ]
 challengePassword      = sgf12345678
 
2.生成CA私钥以及自签名根证书,即给IE进行加载的证书
  (1)cmd.exe 定位到openssl的安装路径bin目录下,执行下面命令:
    openssl genrsa -out c:\ca\ca-key.pem 1024
    (2)生成待签名证书

openssl req -new -out c:\ca\ca-req.csr -key c:\ca\ca-key.pem -config openssl.conf

     (3)CA私钥进行自签名

openssl x509 -req -in c:\ca\ca-req.csr -out c:\ca\ca-cert.pem -signkey c:\ca\ca-key.pem -days 365
 
3.使用keytool工具生成server端证书
  (1)定位到JDK安装路径的bin目录下。

(2)生成KeyPair,注意keyPass,storepass要一样

keytool -genkey -aliastomcat-validity365-keyalg RSA -keysize 1024 -keypassas.1234-storepass  as.1234-dname "cn=www.sqatest.com,ou=webdt,o=dtri,l=Beijing,st=Beijing,c=CN" -keystorec:\ca\albertsong.jks

(3)  生成待签名证书

keytool -certreq -alias tomcat -sigalg MD5withRSA -file c:\ca\albertsong.csr -keypass as.1234 -keystore c:\ca\albertsong.jks -storepass as.1234

(4) 使用工具opensslCA私钥进行签名

openssl x509 -req -in c:\ca\albertsong.csr -out c:\ca\albertsong-cert.pem -CA c:\ca\ca-cert.pem -CAkey  c:\ca\ca-key.pem -days 365 -set_serial 1

 4.导入信任的CA根证书到Java的默认位置

 

keytool -import -v -trustcacerts -storepass changeit -alias tomcat -file c:\ca\ca-cert.pem -keystore   “C:\Program Files\Java\jdk1.6.0_11\jre\lib\security\cacerts”

 

5.把CA签名后的server端证书导入keystore

(提示时,输入as.1234)

keytool -import -v -trustcacerts -storepass as.1234 -alias tomcat -file c:\ca\albertsong-cert.pem -keystore c:\ca\albertsong.jks
 

6.Tomcatserver.xml配置部分说明

(1)将生成的server端证书c:\ca\albertsong.jks,拷贝到[Tomcat install path]\Webserver\conf中.

(2)修改server.xml,添加下面的内容。

<Connector port="8443"protocol="org.apache.coyote.http11.Http11NioProtocol"SSLEnabled="true"

              maxThreads="150" scheme="https" secure="true"

              clientAuth="false" sslProtocol="TLS"

       keystoreFile="[Tomcat install path]\Webserver\conf\albertsong.jks"

       keystorePass="sgf1234"/>
 
7.重启tomcat
  注意观察启动的命令窗口,看是否有异常发生。如果有异常发生,可以百度或google一下,应该是可以解决的。呵呵
 
8.Client端导入证书
  (1)将c:\ca\ca-cert.pem重命名为ca-cert.cer
  (2)Client端,打开IE->Tools->Internet Options->Content->Certificate,import证书ca-cert.cer
9.域名欺骗(我自己根据理解取的名字,这步不是必须的,可以直接用IP访问)
  在Client端,打开“C:\Windows\System32\drivers\etc\hosts”,添加(例如server IP为10.10.7.21)
  10.10.7.21   www.sqatest.com
 这样就可以在Client端输入https://www.sqatest.com:8443/来访问server了。
 
越来越觉得,做测试的需要学习的知识简直是无边无际啊。加油,一点一点积累。
 
 

收藏 举报

TAG:

 

评分:0

我来说两句

Open Toolbar