HTTPS安全认证在Tomcat中的配置方法与图解

这篇博客上个月就写了，只是当初没有上传操作图片，只有一些文字，让不少朋友看了云里雾里，这次重新更新，加了自己的操作视图，方便大家理解。本篇写的是HTTPS在Tomcat中的配置方法；至于HTTPS安全认证的原理，大家可以上网查看去理解；学习建议：大家可以使用面向对象的方式去理解握手协议，单向认证与双向认证的原理。（这篇本人使用了图解方式讲解，写一下就上传一张图片，我也是醉了，望对大家有所帮助）

1.为服务器生成证书

首先要确认当前电脑是否安装JDK；

1为服务器生成证书: 使用keytool为Tomcat生成证书，假定目标机器的域名是“localhost”，keystore文件存放在“E:\tomcat.keystore”，口令为“123456”，

使用如下命令生成： keytool -genkey -v -alias tomcat -keyalg RSA -keystore E:\tomcat.keystore -validity 36500

 

注意：

 

A.1：这里的口令为服务器证书密码（至少6位数），我设为 ：123456

  2：您的名字与姓氏（必须填写）：URL访问的地址；我设置为localhost 代表本机 <!-- 盘中的C:\WINDOWS\system32\drivers\etc\hosts文件的本机IP对应字符设置

后面的四项，可以看服务器公司的情况而设置。 程序测试可以不设置，直接回车 -->

 

B. 接着是显示你上面所填写的对应信息， 确认无误，可以y再回车，完成。若有误，按n返回，继续从名字开始重新填写

 

C. 最后是提示你输入<tomcat>的主密码，这项较为重要，会在tomcat配置文件中使用，建议输入与keystore的密码一致，设置其它密码也可以（回车即可），

 

完成上述输入后，直接回车则在你在第二步中定义的位置找到生成的文件，出现类似于以下图，就生成服务器证书成功：

 

2.为客户端生成证书

 

2. 为客户端生成证书：

1，命令生成：

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore E:\mykey.p12 （mykey为自定义）

接下来操作与生成服务器证书一样，但注意的是名字那可以是任意值

下面那行，可以按自己情况填写；比如我的: qhs   其他信息都回车可以不写

 

 

2. 对应的证书库存放在“E:\mykey.p12”，双击mykey.p12文件，即可将证书导入至浏览器（客户端）

 

最后导入成功！

 

3.让服务器信任客户端书

3. 让服务器信任客户端证书：

 

A .首先要把客户端证书导出为一个单独的CER文件

命令如下：

keytool -export -alias mykey -keystore E:\mykey.p12 -storetype PKCS12 -storepass 000000 -rfc -file E:\mykey.cer

//上述“000000”为第2步中设置的客户端密码；E:\mykey.p12与E:\mykey.cer ，名字要一致mykey

 

完成后，E：下面就有了三个文件

 

B.第二步，是将该文件导入到服务器的证书库，添加为一个信任证书

命令如下：keytool -import -v -file E:\mykey.cer -keystore E:\tomcat.keystore

到此已完成第三步，可以使用以下命令可以看到两证书：一个是服务器证书，一个是受信任的客户端证书：keytool -list -keystore D:\home\tomcat.keystore

<!--输入上面的命令后，会提示输入密码（为第一步生成的服务器证书密码，我的为123456）密码正确后回车提示是否信任此证书？ y-->

 

//测试

通过命令查看服务器的证书库，可以看到两个证书，一个是服务器证书，一个是受信任的客户端证书：

keytool -list -keystore E:\tomcat.keystore (tomcat为你设置服务器端的证书名; 命令中要输入密码，为第一步生成的服务器证书密码：123456)

 

4.让客户端信任服务器证书

4. 让客户端信任服务器证书：

A: 先把服务器证书导出为一个单独的CER文件

使用如下命令：keytool -keystore E:\tomcat.keystore -export -alias tomcat -file E:tomcat.cer (tomcat为你设置服务器端的证书名；为第一步生成的服务器证书密码：123456)。

 

B: 通过以上命令，服务器证书就被我们导出到“E:\tomcat.cer”文件了。双击tomcat.cer文件，按照提示安装证书，将证书填入到“受信任的根证书颁发机构”。

 

最后跳出提示，选择是，完成

 

 

导入成功、完成第四步客户端信任服务器证书

 

 

5.配置Tomcat服务器

5. 配置Tomcat服务器

打开Tomcat根目录下的/conf/server.xml，找到Connector port="8443"配置段，修改为如下：

Server.xml源码如下：
<Connector 
port="8443"  protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true" maxThreads="150" scheme="https"
secure="true" clientAuth="true" sslProtocol="TLS"
keystoreFile="E:/tomcat.keystore" keystorePass="123456"
truststoreFile="E:/tomcat.keystore" truststorePass="123456" />

（E:/tomcat要与生成的服务端证书名一致）

属性说明：

clientAuth:设置是否双向验证，默认为false，设置为true代表双向验证

keystoreFile:服务器证书文件路径

keystorePass:服务器证书密码

truststoreFile:用来验证客户端证书的根证书，此例中就是服务器证书

truststorePass:根证书密码

6.测试

 

在浏览器中输入https://localhost:8443/，会弹出选择客户端证书界面，点击“确定”，会进入tomcat主页，地址栏后会有“锁”图标，表示本次会话已经通过HTTPS双向验证，接下来的会话过程中所传输的信息都已经过SSL信息加密。

 

完成HTTPS双向认证。