簡要記錄主要步驟備忘
1、進(jìn)入到j(luò)dk下的bin目錄
2、輸入如下指令
keytool -v -genkey -alias tomcat -keyalg RSA -keystore d:/tomcat.keystore -validity 36500
附:
d:/tomcat.keystore是將生成的tomcat.keystore放到d盤根目錄下。
"-validity 36500”含義是證書有效期,36500表示100年,默認(rèn)值是90天
注意若要放到c盤,在win7系統(tǒng)下,需要以管理員身份進(jìn)入到命令行中進(jìn)行操作,否則是無法創(chuàng)建tomcat.keystore的。本例放到d盤下。
如何以管理員身份進(jìn)入到命令行下呢?開始->搜索框中輸入cmd->等待(注意不回車)->出現(xiàn)cmd.exe->右鍵“以管理員身份運(yùn)行”即可。
3、輸入keystore密碼
密碼任意,此處以123456為例,要記住這個(gè)密碼,之后在進(jìn)行server.xml配置時(shí)需要使用。
4、輸入名字、組織單位、組織、市、省、國家等信息
注意事項(xiàng):
A、Enter keystore password:此處需要輸入大于6個(gè)字符的字符串
B、“What is your first and last name?”這是必填項(xiàng),并且必須是TOMCAT部署主機(jī)的域名或者IP[如:gbcom.com 或者 10.1.25.251],就是你將來要在瀏覽器中輸入的訪問地址
C、“What is the name of your organizational unit?”、“What is the name of your organization?”、“What is the name of your City or Locality?”、“What is the name of your State or Province?”、“What is the two-letter country code for this unit?”可以按照需要填寫也可以不填寫直接回車,在系統(tǒng)詢問“correct?”時(shí),對照輸入信息,如果符合要求則使用鍵盤輸入字母“y”,否則輸入“n”重新填寫上面的信息
D、Enter key password for <tomcat>,這項(xiàng)較為重要,會(huì)在tomcat配置文件中使用,建議輸入與keystore的密碼一致,設(shè)置其它密碼也可以
l 完成上述輸入后,直接回車則在你在第二步中定義的位置找到生成的文件
5、輸入之后會(huì)出現(xiàn)確認(rèn)的提示
此時(shí)輸入y,并回車。此時(shí)創(chuàng)建完成keystore。
進(jìn)入到D盤根目錄下可以看到已經(jīng)生成的tomcat.xml
6、進(jìn)入tomcat文件夾
找到conf目錄下的sever.xml并進(jìn)行編輯
7、編輯
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" keystoreFile="D:/AppServer/Tomcat/apache-tomcat-6.0.32/conf/tomcat.keystore"
keystorePass="deleiguo" sslProtocol="TLS" />
注:
方框中的keystore的密碼,就是剛才我們設(shè)置的“123456”.
編輯完成后關(guān)閉并保存sever.xml
8、Tomcat啟動(dòng)成功后,使用https://127.0.0.1:8443 訪問頁面
頁面成功打開即tomcat下的https配置成功。
9、應(yīng)用程序HTTP自動(dòng)跳轉(zhuǎn)到HTTPS
在應(yīng)用程序中web.xml中加入:
<security-constraint>
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
10、生成安全證書文件
keytool -export -alias tomcat -file D:/file.cer -keystore d:/tomcat.keystore -validity 36500
然后輸入d:/tomcat.keystore中的keystore密碼
-file D:/file.cer 即為生成的cer文件,可直接點(diǎn)擊安裝
11、注意事項(xiàng):
(1) 生成證書的時(shí)間,如果IE客戶端所在機(jī)器的時(shí)間早于證書生效時(shí)間,或者晚于有效時(shí)間,IE會(huì)提示“該安全證書已到期或還未生效”
(2) 如果IE提示“安全證書上的名稱無效或者與站點(diǎn)名稱不匹配”,則是由生成證書時(shí)填寫的服務(wù)器所在主機(jī)的域名“您的名字與姓氏是什么?”/“What is your first and last name?”不正確引起的
12、遺留問題:
(1)如果AC主機(jī)不能通過域名查找,必須使用IP,但是這個(gè)IP只有在配置后才能確定,這樣證書就必須在AC確定IP地址后才能生成
(2)證書文件只能綁定一個(gè)IP地址,假設(shè)有10.1.25.250 和 192.168.1.250 兩個(gè)IP地址,在證書生成文件時(shí),如使用了10.1.25.250,通過IE就只能使用10.1.25.250 來訪問AC-WEB,192.168.1.250是無法訪問AC-WEB的。