tomcat+spring+https

因爲開發的接口須要ios調用，而ios即將只支持https，因此最近研究了一下，將成果放在這裏記錄一下：

---

 

.配置tomcat的https：

原文連接：http://jingyan.baidu.com/article/a948d6515d3e850a2dcd2ee6.html

• 利用tomcat服務器配置https雙向認證

方法/步驟

 

1. 爲服務器生成證書

   「運行」控制檯，進入%JAVA_HOME%/bin目錄，使用以下命令進入目錄：

   cd 「c:\Program Files\Java\jdk1.6.0_11\bin」 

   使用keytool爲Tomcat生成證書，假定目標機器的域名是「localhost」，keystore文件存放在「D:\home\tomcat.keystore」，口令爲「password」，使用以下命令生成：

   keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500 (參數簡要說明：「D:\home\tomcat.keystore」含義是將證書文件的保存路徑，證書文件名稱是tomcat.keystore ；「-validity 36500」含義是證書有效期，36500表示100年，默認值是90天 「tomcat」爲自定義證書名稱)。

   在命令行填寫必要參數：

   A、 輸入keystore密碼：此處須要輸入大於6個字符的字符串。

   B、 「您的名字與姓氏是什麼？」這是必填項，而且必須是TOMCAT部署主機的域名或者IP[如：gbcom.com 或者 10.1.25.251]（就是你未來要在瀏覽器中輸入的訪問地址），不然瀏覽器會彈出警告窗口，提示用戶證書與所在域不匹配。在本地作開發測試時，應填入「localhost」。

   C、 你的組織單位名稱是什麼？」、「您的組織名稱是什麼？」、「您所在城市或區域名稱是什麼？」、「您所在的州或者省份名稱是什麼？」、「該單位的兩字母國家代碼是什麼？」能夠按照須要填寫也能夠不填寫直接回車，在系統詢問「正確嗎？」時，對照輸入信息，若是符合要求則使用鍵盤輸入字母「y」，不然輸入「n」從新填寫上面的信息。

   D、 輸入<tomcat>的主密碼，這項較爲重要，會在tomcat配置文件中使用，建議輸入與keystore的密碼一致，設置其它密碼也能夠，完成上述輸入後，直接回車則在你在第二步中定義的位置找到生成的文件。

2. 爲客戶端生成證書

   爲瀏覽器生成證書，以便讓服務器來驗證它。爲了能將證書順利導入至IE和Firefox，證書格式應該是PKCS12，所以，使用以下命令生成：

   keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12 （mykey爲自定義）。

   對應的證書庫存放在「D:\home\mykey.p12」，客戶端的CN能夠是任意值。雙擊mykey.p12文件，便可將證書導入至瀏覽器（客戶端）。

3. 讓服務器信任客戶端證書

   因爲是雙向SSL認證，服務器必需要信任客戶端證書，所以，必須把客戶端證書添加爲服務器的信任認證。因爲不能直接將PKCS12格式的證書庫導入，必須先把客戶端證書導出爲一個單獨的CER文件，使用以下命令：

   keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer 

   (mykey爲自定義與客戶端定義的mykey要一致，password是你設置的密碼)。經過以上命令，客戶端證書就被咱們導出到「D:\home\mykey.cer」文件了。

   下一步，是將該文件導入到服務器的證書庫，添加爲一個信任證書使用命令以下：

        keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore

   經過list命令查看服務器的證書庫，能夠看到兩個證書，一個是服務器證書，一個是受信任的客戶端證書：

   keytool -list -keystore D:\home\tomcat.keystore (tomcat爲你設置服務器端的證書名)。

4. 讓客戶端信任服務器證書

   因爲是雙向SSL認證，客戶端也要驗證服務器證書，所以，必須把服務器證書添加到瀏覽的「受信任的根證書頒發機構」。因爲不能直接將keystore格式的證書庫導入，必須先把服務器證書導出爲一個單獨的CER文件，使用以下命令：

   keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer (tomcat爲你設置服務器端的證書名)。

   經過以上命令，服務器證書就被咱們導出到「D:\home\tomcat.cer」文件了。雙擊tomcat.cer文件，按照提示安裝證書，將證書填入到「受信任的根證書頒發機構」。

5. 配置Tomcat服務器

   打開Tomcat根目錄下的/conf/server.xml，找到Connector port="8443"配置段，修改成以下：

   <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

   SSLEnabled="true" maxThreads="150" scheme="https"

   secure="true" clientAuth="true" sslProtocol="TLS"

   keystoreFile="D:\\home\\tomcat.keystore" keystorePass="123456"

   truststoreFile="D:\\home\\tomcat.keystore" truststorePass="123456" />

   （tomcat要與生成的服務端證書名一致）

   屬性說明：

   clientAuth:設置是否雙向驗證，默認爲false，設置爲true表明雙向驗證

   keystoreFile:服務器證書文件路徑

   keystorePass:服務器證書密碼

   truststoreFile:用來驗證客戶端證書的根證書，此例中就是服務器證書

   truststorePass:根證書密碼

6.  

   測試

   在瀏覽器中輸入:https://localhost:8443/，會彈出選擇客戶端證書界面，點擊「肯定」，會進入tomcat主頁，地址欄後會有「鎖」圖標，表示本次會話已經經過HTTPS雙向驗證，接下來的會話過程當中所傳輸的信息都已通過SSL信息加密。

   2、配置應用以便使用 SSL ，例如 https://localhost:8443/yourApp

   打開應用的 web.xml 文件，增長配置以下：

   1 2 3 4 5 6 7 8 9

   < security-constraint >      < web-resource-collection >          < web-resource-name >securedapp</ web-resource-name >          < url-pattern >/*</ url-pattern >      </ web-resource-collection >      < user-data-constraint >          < transport-guarantee >CONFIDENTIAL</ transport-guarantee >      </ user-data-constraint > </ security-constraint >

   將 URL 映射設爲 /* ，這樣你的整個應用都要求是 HTTPS 訪問，而 transport-guarantee 標籤設置爲 CONFIDENTIAL 以便使應用支持 SSL。

   若是你但願關閉 SSL ，只須要將 CONFIDENTIAL 改成 NONE 便可。