tomcat实现https配置

tomcat实现https配置！

配置环境：XP ，Tomcat 5.5，jdk1.5.0_09，IE6.0

HTTPS

    它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不详HTTP那样使用端口80来和TCP/IP进行通讯。）SSL使用40位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X..509数字认证，如果需要的话用户可以确认发送者是谁。

 

tomcat实现SSL配置
编辑tomcat的配置文件server.xml，去掉下面SSL Connector的注释,修改为如下：
  <!-- Define an SSL HTTP/1.1 Connector on port 8443 -->;

 

    <Connector  port="8443" maxHttpHeaderSize="8192"

               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

               enableLookups="false" disableUploadTimeout="true"

acceptCount="100" scheme="https" secure="true"                  clientAuth="false" sslProtocol="TLS"

                   keystoreFile="D:/Java/Tomcat5.5/conf/tomcatKey.keystore"

keystorePass="ke的密"

                        algorithm="SunX509"/>

Connectior属性简介

属性	描述
port	这个port属性(默认值是8443)是 TCP/IP端口数码，Tomcat在其上监听安全连接。你可以把它更改成任何你愿意要的数值(如默认的https通信，数目是443)。不过，在许多操作系统中，要想在比1024小的端口数码上运行Tomcat，需要特殊的设置(它超出了这个文档资料的范围)。
redirectPort	如果你在这里更改端口数值，你还必须更改在non-SSL连接器上的redirectPort 这个属性特定的值。这允许Tomcat自动地redirect那些试图访问有安全限制页面的用户，指明根据 Servlet 2.4 Specification要求，SSL是必需的
clientAuth	如果你想要Tomcat要求所有的SSL客户在使用这个socket时出示用户认证书，把这个值设定为 true 。如果你想要Tomcat要求出示用户认证书，但是如果没有认证书也可以， 就把这个值设定为want 。
keystoreFile	如果你产生的keystore文件不在Tomcat期望的默认地方(一个叫做.keystore 的文件在Tomcat运行的主目录)，就添加这个属性。你可以指定一个绝对路径名称， 或者一个由$CATALINA_BASE环境变量而派生的相对路径名称。
keystorePass	如果你使用一个不同的keystore(以及认证书)密码，而不是Tomcat期望的密码 (就是changeit)，添加这个元素。
keystoreType	如果使用一个PKCS12 keystore的话，就添加这个element。 有效的值是JKS 和 PKCS12
sslProtocol	要在这个socket上被使用的加密／解密协定。如果你在使用Sun的JVM，我们不提倡更改 这个值。据报道，TLS协定的IBM's 1.4.1 实现与一些通用的浏览器不兼容。 如果是这样，就使用value SSL
ciphers	这个socket允许使用的由逗号分隔开的加密密码列单。默认的情况下，任何可用的密码都允许被使用。
algorithm	可用的X509算法。默认是Sun的实现( SunX509 )。 对于IBM JVMs，你应该使用值 IbmX509。对于其他卖主，查阅JVM文档资料来 找正确的值。
truststoreFile	用来验证用户认证书的TrustStore文件。
truststorePass	访问TrustStore的密码。默认值就是keystorePass的值。
truststoreType	如果你在使用与KeyStore不同格式的TrustStore，添加这个元素。 合法的值是JKS和PKCS12
keyAlias	如果 keystore 里面有多个 key，你可以为用这个选项为加入的 key 起一个名字。 如果没有指定名字，使用时 keystore 内的第一个 key 将会被使用。

1:生成ca key
keytool -genkey -alias tomcat -keyalg RSA –keysize 1024 –validity 730 -keystore D:/Test.keystore

生成.keystore文件在 用户目录下
输入keystore密码： ************
您的名字与姓氏是什么？
[Unknown]： www.zm.cn
您的组织单位名称是什么？
[Unknown]： sanxin
您的组织名称是什么？
[Unknown]： sanxin
您所在的城市或区域名称是什么？
[Unknown]： chengdou
您所在的州或省份名称是什么？
[Unknown]： sichuan
该单位的两字母国家代码是什么
[Unknown]： CN
CN=www.zm.cn, OU= sanxin, O= sanxin, L=chengdou, ST=sichuan, C=CN 正确吗？
[否]： Y

输入的主密码
（如果和 keystore 密码相同，按回车）：*************

这里注意common name，一定要是你网站的域名或者ip，不然即使ie安装了服务器的key，ie每回都会报警: 3.“安全证书上的名称无效，或者与站点名称不匹配”
比如内网里面建个ip访问的站点，common name就应该为那个服务器的ip。

 

加密算法：

1.       对称加密算法：

DES、IDEA、RC2、RC4、AES、Skipjack ......

2.  非对称加密算法：

　RSA、DSA、DiffieHellman、PKCS、PGP ......

 

 

单向的HASH算法属于报文摘要算法，虽然有些也出自OpenSSL库。

一、       XP系统下IE7访问https站点故障排除功略：

第一步：当我们用IE7浏览Https站点后会在地址栏右边出现一个红色的“证书错误”的提示，我们点该红色按钮，然后选择“查看证书”。

第二步：在打开的“查看证书”窗口中的“常规”标签中点右下角的“安装证书”按钮。（如）

第三步：出现“证书导入向导”后点“下一步”按钮继续。