加油!不要让自己失望!
Windows环境下Tomcat的SSL配置
上一篇 /
下一篇 2011-06-16 10:15:08
/ 个人分类:小技术
终于搞定了,贴出来我整理的详细配置过程,希望对大家有用。
(1)下载安装JDK,我用的JDK1.6
(2)下载安装OpenSSL
(3)下载安装Tomcat,我用的是Tomcat6.0
(4)在C盘下新建一个文件夹ca存放生成的临时文件及证书文件。
(5)在OpenSSL的安装路径的bin目录下,新建文件openssl.conf,内容如下:
[ req ]
default_bits = 1024
default_keyfile = keyfile.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
prompt = no
output_password = sgf123456
[ req_distinguished_name ]
C = GB
ST = Beijing
L = Haidian
O = WebDT
OU = WebDT
CN = WebDT
emailAddress =test@test.com
[ req_attributes ]
challengePassword = sgf12345678
2.生成CA私钥以及自签名根证书,即给IE进行加载的证书
(1)cmd.exe 定位到openssl的安装路径bin目录下,执行下面命令:
openssl genrsa -out c:\ca\ca-key.pem 1024
(2)生成待签名证书
openssl req -new -out c:\ca\ca-req.csr -key c:\ca\ca-key.pem -config openssl.conf
(3)用CA私钥进行自签名
openssl x509 -req -in c:\ca\ca-req.csr -out c:\ca\ca-cert.pem -signkey c:\ca\ca-key.pem -days 365
(1)定位到JDK安装路径的bin目录下。
(2)生成KeyPair,注意keyPass,storepass要一样
keytool -genkey -aliastomcat-validity365-keyalg RSA -keysize 1024 -keypassas.1234-storepass as.1234-dname "cn=www.sqatest.com,ou=webdt,o=dtri,l=Beijing,st=Beijing,c=CN" -keystorec:\ca\albertsong.jks
(3) 生成待签名证书
keytool -certreq -alias tomcat -sigalg MD5withRSA -file c:\ca\albertsong.csr -keypass as.1234 -keystore c:\ca\albertsong.jks -storepass as.1234
(4) 使用工具openssl用CA私钥进行签名
openssl x509 -req -in c:\ca\albertsong.csr -out c:\ca\albertsong-cert.pem -CA c:\ca\ca-cert.pem -CAkey c:\ca\ca-key.pem -days 365 -set_serial 1
4.导入信任的CA根证书到Java的默认位置
keytool -import -v -trustcacerts -storepass changeit -alias tomcat -file c:\ca\ca-cert.pem -keystore “C:\Program Files\Java\jdk1.6.0_11\jre\lib\security\cacerts”
5.把CA签名后的server端证书导入keystore
(提示时,输入as.1234)
keytool -import -v -trustcacerts -storepass as.1234 -alias tomcat -file c:\ca\albertsong-cert.pem -keystore c:\ca\albertsong.jks
6.Tomcat的server.xml配置部分说明
(1)将生成的server端证书c:\ca\albertsong.jks,拷贝到[Tomcat install path]\Webserver\conf中.
(2)修改server.xml,添加下面的内容。
<Connector port="8443"protocol="org.apache.coyote.http11.Http11NioProtocol"SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="[Tomcat install path]\Webserver\conf\albertsong.jks"
keystorePass="sgf1234"/>
7.重启tomcat
注意观察启动的命令窗口,看是否有异常发生。如果有异常发生,可以百度或google一下,应该是可以解决的。呵呵
8.Client端导入证书
(1)将c:\ca\ca-cert.pem重命名为ca-cert.cer
(2)Client端,打开IE->Tools->Internet Options->Content->Certificate,import证书ca-cert.cer
9.域名欺骗(我自己根据理解取的名字,这步不是必须的,可以直接用IP访问)
在Client端,打开“C:\Windows\System32\drivers\etc\hosts”,添加(例如server IP为10.10.7.21)
10.10.7.21 www.sqatest.com
这样就可以在Client端输入https://www.sqatest.com:8443/来访问server了。
越来越觉得,做测试的需要学习的知识简直是无边无际啊。加油,一点一点积累。
收藏
举报
TAG: