tomcat-ssl-config

Tomcat 双向SSL 认证的配置作者：廖雪峰在Tomcat 6中配置SSL 双向认证是相当容易的，本文将介绍如何使用JDK 的keytool 来为Tomcat 配置双向SSL 认证。系统需求：JD

Tomcat 双向SSL 认证的配置

作者：廖雪峰

在Tomcat 6中配置SSL 双向认证是相当容易的，本文将介绍如何使用JDK 的keytool 来为Tomcat 配置双向SSL 认证。

系统需求：

JDK 5.0

Tomcat 6.0.16

第一步：为服务器生成证书

使用keytool 为Tomcat 生成证书，假定目标机器的域名是“localhost ”，keystore 文件存放在“C:tomcat.keystore”，口令为“password ”，使用如下命令生成：

如果Tomcat 所在服务器的域名不是“localhost ”，应改为对应的域名，如“www.sina.com.cn”，否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入“localhost ”

第二步：为客户端生成证书

下一步是为浏览器生成证书，以便让服务器来验证它。为了能将证书顺利导入至IE 和Firefox ，证书格式应该是PKCS12，因此，使用如下命令生成：

对应的证书库存放在“C:my.p12”，客户端的CN 可以是任意值。稍候，我们将把这个“my.p12”证书库导入到IE 和Firefox 中。

第三步：让服务器信任客户端证书

由于是双向SSL 认证，服务器必须要信任客户端证书，因此，必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入，我们必须先把客户端证书导出为一个单独的CER 文件，使用如下命令：

通过以上命令，客户端证书就被我们导出到“C:my.cer”文件了。下一步，是将该文件导入到服务器的证书库，添加为一个信任证书：

通过list 命令查看服务器的证书库，我们可以看到两个输入，一个是服务器证书，一个是受信任的客户端证书：

第四步：配置Tomcat 服务器

打开Tomcat 根目录下的/conf/server.xml，找到如下配置段，修改如下：

maxThreads="150" scheme="https" secure="true"

clientAuth="true " sslProtocol="TLS"

keystoreFile="C:/tomcat.keystore" keystorePass="password "

truststoreFile="C:/tomcat.keystore" truststorePass="password "

/>

其中，clientAuth 指定是否需要验证客户端证书，如果该设置为“false ”，则为单向SSL 验证，SSL 配置可到此结束。如果clientAuth 设置为“true ”，表示强制双向SSL 验证，必须验证客户端证书。如果clientAuth 设置为“want ”，则表示可以验证客户端证书，但如果客户端没有有效证书，也不强制验证。

第五步：导入客户端证书

如果设置了clientAuth="true"，则需要强制验证客户端证书。双击“C:my.p12”即可将证书导入至IE ：

导入证书后，即可启动Tomcat ，用IE 进行访问。如果需要用FireFox 访问，则需将证书导入至FireFox ：

作者简介：

廖雪峰，长期从事J2EE/J2ME开发，对Open Source框架有深入研究。目前廖雪峰创建了JavaEE 开发网

，著有《Spring 2.0核心技术与最佳实践》一书。 （http://www.javaeedev.com）