Tomcat_5.5 _通配符SSL证书详细操作指南

Tomcat 5.5 通配符SSL 证书详细操作指南概述：本文讲述如何生成通配符SSL 证书, 以及如何在Tomcat 中进行配置SSL 并映射单个域名到指定的应用, 以及如何同时启用HTTPS 和H

Tomcat 5.5 通配符SSL 证书详细操作指南

概述：本文讲述如何生成通配符SSL 证书, 以及如何在Tomcat 中进行配置SSL 并映射单个域名到指定的应用, 以及如何同时启用HTTPS 和HTTP 的端口监听.

环境: Windows XP / Cent OS 5, Tomcat 5.5, JDK 1.5/1.6

2010-12-18

目录

1. 注册/创建需要的域名 . ........................................................................................................................ 3

2. 生成服务器证书 .................................................................................................................................. 3

3. 修改Tomcat 的server.xml 启用SSL ................................................................................................... 6

4. 启动服务器 .......................................................................................................................................... 8

5. 使用浏览器进行访问测试并导入信任证书 . ...................................................................................... 8

6. 将www.beansoft.net 和bbs.beansoft.net 映射到单独的Web 应用 ........................................... 16

7. 附录 .................................................................................................................................................... 16

KeyTool IUI home page http://yellowcat1.free.fr/index_ktl.html . ........................................................... 16

1. 注册/创建需要的域名

可注册购买域名或者在本机创建虚拟域名, 例如本文作者通过修改Hosts 文件创建了两个二级域名: www.beansoft.net 和 bbs.beansoft.net, 如下图所示:

2. 生成服务器证书

使用JDK 自带的KeyTool 工具生成通配符证书, 打开控制台, 转向 Tomcat 所在目录, 执行下面的命令:

cd E:Javaapache-tomcat-5.5.27

keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600

, 如下图所示:

注意交互过程:

名字与姓氏, 也就是CN, 必须输入和服务器一致的域名(如www.beansoft.net) 或者真实IP, 否则这个证书在浏览器中显示的时候, 一直会报警 名称和站点不符合, 即使加入了受信任站点也无济于事. 通配符的域名证书输入 *.beansoft.net 即可.

执行完毕后, 会在当前目录出现一个文件 server.keystore. 如下图所示:

3. 修改Tomcat 的server.xml 启用SSL

修改TOMCAT_HOMEconfserver.xml, 找到如下的定义:

在后面添加一个新的定义:

使用的文件就是 server.keystore, 密码要和创建证书时保持一致.

需要注意的是我这里只给出了必填的选项, 其它参数如 maxHttpHeaderSize 等都可在此处进行配置.

这时候, 服务器已经同时启用了HTTP 和HTTPS, 如果不需要HTTP 服务, 只需要注释掉8080的Connector 定义即可.

为了便于对比, 下面列出完整的server.xml 的最小配置:

4. 启动服务器

采用上面的配置, 启动Tomcat 服务器, 可看到日志输出如下:

服务器成功启动, 同时监听了普通的HTTP 以及HTTPS 服务.

5. 使用浏览器进行访问测试并导入信任证书

我们这里使用的浏览器是IE8.

下面首先访问HTTP 服务, 没有任何问题:

接着尝试HTTPS 服务: 或者 , 两个地址都可以看到证书报警:

点击

那么如何避免以后访问时再次报警呢? 有两个办法, 第一个办法是去购买正规机构颁发的数字证书, 需要Money; 第二个办法就是导入证书. 此时的浏览器窗口如下所示:

点击 地址栏 右侧的证书错误, 可弹出证书错误的详情, 接下来点击 “查看证书”,