tomcat https配置Tomcat 配置HTTPS 方式(單向), 簡要記錄主要步驟1. 生成服務(wù)器端證書1）進(jìn)入到j(luò)dk 下的bin 目錄2）輸入如下指令keytool -v -genkey

tomcat https配置

Tomcat 配置HTTPS 方式(單向), 簡要記錄主要步驟

1. 生成服務(wù)器端證書

1）進(jìn)入到j(luò)dk 下的bin 目錄

2）輸入如下指令

keytool -v -genkey -alias tomcat -keyalg RSA -keystore d:/tomcat.keystore -validity 36500

附：

d:/tomcat.keystore是將生成的tomcat.keystore 放到d 盤根目錄下。 "-validity 36500”含義是證書有效期，36500表示100年，默認(rèn)值是90天

注意若要放到c 盤，在win7系統(tǒng)下，需要以管理員身份進(jìn)入到命令行中進(jìn)行操作，否則是無法創(chuàng)建tomcat.keystore 的。本例放到d 盤下。

如何以管理員身份進(jìn)入到命令行下呢？開始->搜索框中輸入cmd->等待（注意不回車）->出現(xiàn)cmd.exe->右鍵“以管理員身份運(yùn)行”即可。

3）輸入keystore 密碼

密碼任意，此處以123456為例，要記住這個(gè)密碼，之后在進(jìn)行server.xml 配置時(shí)需要使用。

4）輸入名字、組織單位、組織、市、省、國家等信息

注意事項(xiàng)：

A 、Enter keystore password：此處需要輸入大于6個(gè)字符的字符串

B 、“What is your first and last name?”這是必填項(xiàng)，并且必須是TOMCAT 部署主機(jī)的域名或者IP[如：gbcom.com 或者 10.1.25.251]，就是你將來要在瀏覽器中輸入的訪問地址

C 、“What is the name of your organizational unit? ”、“What is the name of your organization? ”、“What is the name of your City or Locality?”、“What is the name of your State or Province? ”、“What is the two-letter country code for this unit?”可以按照需要填寫也可以不填寫直接回車，在系統(tǒng)詢問“correct? ”時(shí)，對(duì)照輸入信息，如果符合要求則使用鍵盤輸入字母“y ”，否則輸入“n ”重新填寫上面的信息

D 、Enter key password for ，這項(xiàng)較為重要，會(huì)在tomcat 配置文件中使用，建議輸入與keystore 的密碼一致，設(shè)置其它密碼也可以

l 完成上述輸入后，直接回車則在你在第二步中定義的位置找到生成的文件

5）輸入之后會(huì)出現(xiàn)確認(rèn)的提示

此時(shí)輸入y ，并回車。此時(shí)創(chuàng)建完成keystore 。

進(jìn)入到D 盤根目錄下可以看到已經(jīng)生成的tomcat.xml

6）進(jìn)入tomcat 文件夾

找到conf 目錄下的sever.xml 并進(jìn)行編輯

7） 編輯server.xml

maxThreads="150" scheme="https" secure="true"

clientAuth="false"

keystoreFile="D:/AppServer/Tomcat/apache-tomcat-6.0.32/conf/tomcat.keystore"

keystorePass="deleiguo" sslProtocol="TLS" />

注：

方框中的keystore 的密碼，就是剛才我們設(shè)置的“123456”.

如果tomcat 配置https 啟動(dòng)出現(xiàn)"No Certificate file specified or invalid file format"異常， 應(yīng)該和

tomcat

的版本有光，用tomcat6.0.18就不會(huì)報(bào)這個(gè)錯(cuò)誤，用tomcat6.0.33就會(huì)出現(xiàn)這個(gè)錯(cuò)誤。由于6.0.33版本中默認(rèn)啟用了APR （APR 是通過JNI 訪問的可移植庫，可以提高T omcat 的性能和伸縮性），所以采用傳統(tǒng)的配置方式（如下）會(huì)報(bào)異常

解決辦法是采用下面的配置：

1.

LEnabled ="true"

2. maxThreads ="150" scheme ="https" secure ="true"

3. clientAuth ="false" sslProtocol ="TLS"

4. keystoreFile ="D:/Tomcat6/server.keystore"

5. keystorePass ="changeit" />

編輯完成后關(guān)閉并保存sever.xml

8）Tomcat 啟動(dòng)成功后，使用https://127.0.0.1:8443 訪問頁面

頁面成功打開即tomcat 下的https 配置成功。

9）應(yīng)用程序HTTP 自動(dòng)跳轉(zhuǎn)到HTTPS ，這個(gè)可以先不用配置

在應(yīng)用程序中web.xml 中加入：

SSL

/*

CONFIDENTIAL

2. 生成安全證書文件

keytool -export -alias tomcat -file D:/file.cer -keystore d:/tomcat.keystore -validity 36500 然后輸入d:/tomcat.keystore中的keystore 密碼

-file D:/file.cer 即為生成的cer 文件，可直接點(diǎn)擊安裝

1. 注意事項(xiàng)：

（1） 生成證書的時(shí)間，如果IE 客戶端所在機(jī)器的時(shí)間早于證書生效時(shí)間，或者晚于有效時(shí)間，IE 會(huì)提示“該安全證書已到期或還未生效”

（2） 如果IE 提示“安全證書上的名稱無效或者與站點(diǎn)名稱不匹配”，則是由生成證書時(shí)填寫的服務(wù)器所在主機(jī)的域名“您的名字與姓氏是什么？”/“What is your first and last name? ”不正確引起的

2. 遺留問題：

（1）如果AC 主機(jī)不能通過域名查找，必須使用IP ，但是這個(gè)IP 只有在配置后才能確定，這樣證書就必須在AC 確定IP 地址后才能生成

（2）證書文件只能綁定一個(gè)IP 地址，假設(shè)有10.1.25.250 和 192.168.1.250 兩個(gè)IP 地址，在證書生成文件時(shí)，如使用了10.1.25.250，通過IE 就只能使用10.1.25.250 來訪問AC-WEB ，192.168.1.250是無法訪問AC-WEB 的。