Linux下Tomcat6配置HTTPS单向认证

### tomcat6配置：  - 1.单向认证，就是传输的数据加密过了，但是不会校验客户端的来源  - 2.双向认证，如果客户端浏览器没有导入客户端证书，是访问不了web系统的，找不到地址  - 如果只是加密，单向就行；如果想要用系统的人没有证书就访问不了系统的话，就采用双向  - http默认使用的是8080端口，如果URL里面端口号也懒得输，就改为80. - https默认使用的是8443端口，如果URL里面端口号也懒得输，就改为443. ### 1.进入到linux目录下 - cd /data1/tomcat/conf/ ### 2.生成证书 - keytool -genkey -alias tomcat -keyalg RSA -validity 36500 -keystore /data1/tomcat/conf/.keystore - 参数简要说明：/data1/tomcat/conf/.keystore含义是将证书文件的保存路径，证书文件名称是.keystore - -validity 36500 含义是证书有效期，36500表示100年，默认值是90天 tomcat 为自定义证书名称 ``` [root@test_server conf]# keytool -genkey -alias tomcat -keyalg RSA -validity 36500 -keystore /data1/tomcat/conf/.keystore Enter keystore password:   Re-enter new password:  What is your first and last name?   [Unknown]:  180.*.*.* What is the name of your organizational unit?   [Unknown]:  xxx What is the name of your organization?   [Unknown]:  xxx What is the name of your City or Locality?   [Unknown]:  chongqing What is the name of your State or Province?   [Unknown]:  chongqing What is the two-letter country code for this unit?   [Unknown]:  cn Is CN=180.*.*.*, OU=xxx, O=xxx, L=chongqing, ST=chongqing, C=cn correct?   [no]:  y Enter key password for <tomcat> (RETURN if same as keystore password):   Re-enter new password:  ``` - 在命令行填写必要参数：  - A、 输入keystore密码：此处需要输入大于6个字符的字符串(1q2w3e4r)。  - B、 “您的名字与姓氏是什么？”这是必填项，并且必须是TOMCAT部署主机的域名或者IP[如：zhao.com 或者 10.1.25.251]（就是你将来要在浏览器中输入的访问地址），否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入“localhost”。  - C、 你的组织单位名称是什么？”、“您的组织名称是什么？”、“您所在城市或区域名称是什么？”、“您所在的州或者省份名称是什么？”、“该单位的两字母国家代码是什么？”可以按照需要填写也可以不填写直接回车，在系统询问“正确吗？”时，对照输入信息，如果符合要求则使用键盘输入字母“y”，否则输入“n”重新填写上面的信息。  - D、 输入<tomcat>的主密码，这项较为重要，会在tomcat配置文件中使用，建议输入与keystore的密码一致，设置其它密码也可以，完成上述输入后，直接回车则在你在第二步中定义的位置找到生成的文件。  ### 3.配置tomcat/conf/目录下的server.xml ```     <Connector port="80" protocol="HTTP/1.1"                 connectionTimeout="20000"                 maxPostSize="0"                redirectPort="443"                URIEncoding="UTF-8" />                     <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"                 SSLEnabled="true" maxThreads="150" scheme="https" secure="true"                clientAuth="false" sslProtocol="TLS"                keystoreFile="/data1/tomcat/conf/.keystore"                 keystorePass="1q2w3e4r"                connectionTimeout="20000"                 maxPostSize="0"                redirectPort="443"                URIEncoding="UTF-8" />     <Connector port="8009" protocol="AJP/1.3" redirectPort="443" />                ``` - clientAuth="false" 即是单向认证 ### 4.应用程序HTTP自动跳转到HTTPS - 在应用程序中web.xml中加入以下代码，即可控制那些路径走http协议，那些路径走https协议：  ``` <login-config>         <!-- Authorization setting for SSL -->         <auth-method>CLIENT-CERT</auth-method>         <realm-name>Client Cert Users-only Area</realm-name>     </login-config>     <security-constraint>         <!-- Authorization setting for SSL -->         <web-resource-collection >             <web-resource-name >SSL</web-resource-name>             <url-pattern>/*</url-pattern>         </web-resource-collection>         <user-data-constraint>             <transport-guarantee>CONFIDENTIAL</transport-guarantee>         </user-data-constraint>     </security-constraint>   ``` ### 5.浏览器访问https - 重启tomcat - 访问：https://180.*.*.*/***