tomcat中配置ssl
ssl是安全连接的缩写,也就是通过https访问,tomcat中配置ssl很方便,大致有几步:
第一、 生成一个证书;
Java中的keytool就可以很方便生成证书,在命令行先进入java的bin目录,然后执行:
keytool -genkey -alias tomcat -keyalg RSA -validity 10000 -dname “cn=127.0.0.1,o=qcb,c=cn” -keystore tomcat.jks -storepass 123456 -keypass 123456
就可以生成一个tomcat.jks的证书。
第二、 修改配置文件;
<Connector port=”8443″ maxHttpHeaderSize=”8192″
maxThreads=”150″ minSpareThreads=”25″ maxSpareThreads=”75″
enableLookups=”false” disableUploadTimeout=”true”
acceptCount=”100″ scheme=”https” secure=”true” keystoreFile=”tomcat.jks” keystorePass=”123456″
clientAuth=”false” sslProtocol=”TLS” />
keystoreFile的路径是TOMCAT的安装路径下的tomcat. jks (使用keytool生成的证书库文件,并拷贝到tomcat的安装路径)
keystoreFile保存了服务器端的证书库,用于客户端认证。
常用的配置属性:
clientAuth
如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书,置该值为true。
keystoreFile
如果创建的keystore文件不在Tomcat认为的缺省位置(一个在Tomcat运行的home目录下的叫.keystore的文件),则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。
keystorePass
如果使用了一个与Tomcat预期不同的keystore(和证书)密码,则加入该属性。
keystoreType
如果使用了一个PKCS12 keystore,加入该属性。有效值是JKS和PKCS12。
sslProtocol
socket使用的加密/解密协议。如果使用的是Sun的JVM,则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下,使用SSL。
ciphers
此socket允许使用的被逗号分隔的密码列表。缺省情况下,可以使用任何可用的密码。
algorithm
使用的X509算法。缺省为Sun的实现(SunX509)。对于IBM JVMS应该使用ibmX509。对于其它JVM,参考JVM文档取正确的值。
truststoreFile
用来验证客户证书的TrustStore文件。
truststorePass
访问TrustStore使用的密码。缺省值是keystorePass。
truststoreType
如果使用一个不同于正在使用的KeyStore的TrustStore格式,加入该属性。有效值是JKS和PKCS12。
第三、 通过浏览器访问验证;
在地址栏中输入https://localhost:8443
欢迎转载,请注明出处:亲亲宝宝