在windows+tomcat5环境下,如何实现SSL的双向认证?

能说详细些吗?最好有操作步骤,我看网上很多都提了openssl这个软件包,不知道是否真的需要。

解决方案 »

  1.   

    先用JAVA本身的key生成器生成个密钥,然后在tomcat的配置文件中将他引用,其实把tomcat中的配置文件中原来注释的释放在加上你的key name 和 path就可以了。自己到网上找找看。我是这样配的https访问
      

  2.   

    双向认证怎么解释,大多数情况都是配用的tomcat的ssl引用java的生成的证书
      

  3.   

    第一步:生成证书请求文件(CSR)进入Java_JRE\bin目录,如 cd C:\PROGRA~1\Java\jre1.5.0_06\bin,运行如下命令:
    keytool -genkey -alias tomcat -keyalg RSA -keystore c:\server.jks输入keystore密码:********
     输入keystore密码,务必牢记此密码,后面在server.xml的配置中需要使用到。
    您的名字与姓氏是什么? [Unknown]:  cn.globalsign.com您的组织单位名称是什么? [Unknown]:  IT Dept.您的组织名称是什么? [Unknown]:  GlobalSign China Co., Ltd.您所在的城市或区域名称是什么? [Unknown]:  Shanghai您所在的州或省份名称是什么? [Unknown]:  Shanghai该单位的两字母国家代码是什么 [Unknown]:  CN
     您的名字与姓氏是什么?(这里输入域名,如: cn.globalsign.com)您的组织单位名称是什么?(这里输入部门名称,如:  IT Dept)您的组织名称是什么?(这里输入公司名称名称,如: GlobalSign China Co., Ltd.)您所在的城市或区域名称是什么?(这里输入城市,如:Shanghai)您所在的州或省份名称是什么?(这里输入省份,如:Shanghai)该单位的两字母国家代码是什么?(这里输入2位国家代码,如: CN)
    CN=cn.globalsign.com, OU=IT Dept, O= GlobalSign China Co., Ltd., L=Shanghai, ST=Shanghai, C=CN 正确吗? [否]: Y
     请核对信息,如果确认无误后请直接输入Y并回车
    输入<tomcat>的主密码        (如果和 keystore 密码相同,按回车):
     不需要另外设置独立密码,这里回车即可,完成后在C盘根目录下就会生成一个server.jks的JAVA证书池文件,在证书办法并导入前请妥善保存此文件。
    keytool -certreq -alias tomcat -keystore c:\server.jks -file c:\ certreq.csr输入keystore密码:********
     输入密码后回车,这时会生成一个certreq.csr的文件,此文件为证书请求文件(CSR)。 第二步:提交CSR,申请证书递交证书申请表及相关资料,并把证书请求文件(CSR)提交给我们。我们确认资料齐全后,三个工作日内完成证书颁发。
    Tomcat 5.x SSL证书安装
    第一步:获取并安装服务器证书
    取根证书请访问
    保存根证书为root.cer,并运行以下命令导入根证书:keytool -import -trustcacerts -keystore c:\server.jks -alias root -file root.cer     获取服务器证书(此证书可向证书发布单位申请),证书文件的内容为(包括“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”),请把此内容保存为server.cer(文本格式),并运行以下命令导入服务器证书:keytool -import -trustcacerts -keystore c:\server.jks -alias tomcat -file server.cer
      第一步全部完成后,表示证书已经完全安装到server.jks这个文件中,请备份此文件并妥善保存,以后如有更换服务器或重装系统,就可以直接使用此文件。    第二步:更新 server.xml 配置文件用文本编辑器打开 "$JAKARTA_HOME/conf/server.xml"找到去除注释并更新以下内容:<-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 --><!--<Connector className="org.apache.coyote.tomcat5.CoyoteConnector"           port="8443" minProcessors="5" maxProcessors="75"           enableLookups="true" disableUploadTimeout="true"           acceptCount="100" debug="0" scheme="https" secure="true";           clientAuth="false" sslProtocol="TLS" keystoreFile =server.jks keystorePass="********" />-->
    如果你要使用默认的SSL端口,请将8443端口改为443端口,keystoreFile和keystorePass是JKS文件对应的路径和密码。
    注意:不同tomcat版本,修改server.xml的方式不同,请参考tomcat说明     tomcat 6.0  http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html     tomcat 5.5  http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html     tomcat 4.1  http://tomcat.apache.org/tomcat-4.1-doc/ssl-howto.html
    按照以上的步骤配置完成后,重新启动 TOMCAT 后就可以使用https://www.domain.com来访问了双向认证 clientAuth="false" 改为true就可以了。