TOMCAT配置SSL认证为HTTPS协议服务

1 . 问题概述
很多安全性要求较高的系统，都会使用安全套接字层(SSL)进行信息交换，

Sun为了解决在Internet上的实现安全信息传输的解决方案。它实现了SSL和TSL（传输层安全）协议。

在JSSE中包含了数据加密，服务器验证，消息完整性和客户端验证等技术。通过使用JSSE，

可以在Client和Server之间通过TCP/IP协议安全地传输数据。今天我们利用Tomcat配置SSL,

了解其原理

2 . 案例
中国登记结算上海分公司对网络的传输都使用安全套接字层(SSL)进行信息交换
3 . 配置文件说明

Keytool使用指南： http://java.sun.com/j2se/1.4.2/docs/tooldocs/windows/keytool.html Tomcat-ssl配置指南： http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html 配置过程
1.生成 server key ：
以命令行方式切换到目录%TOMCAT_HOME%，在command命令行输入如下命令（jdk1.4以上带的工具）：
keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600
用户名输入域名，如localhost（开发或测试用）或hostname.domainname(用户拥有的域名)，

其它全部以 enter 跳过，最后确认，此时会在%TOMCAT_HOME%下生成server.keystore文件。
注：参数 -validity 指证书的有效期(天)，缺省有效期很短，只有90天。

2.将生成的server.keystore文件放在TOMCAT/conf下

3.修改server.xml文件：去掉下面SSL Connector的注释,修改为如下：<!-- Define an SSL HTTP/1.1 Connector on port 8443 --><Connectorport="8443" maxHttpHeaderSize="8192"maxThreads="150" minSpareThreads="25"maxSpareThreads="75"enableLookups="false"disableUploadTimeout="true"acceptCount="100" scheme="https"secure="true"clientAuth="false" sslProtocol="TLS"keystoreFile="conf/server.keystore"keystorePass="changeit" />参数说明：clientAuth如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书，置该值为true。注：本文只说明单向认证，这里设置为false，双向认证的方法，以后有时间再研究。keystoreFile如果创建的keystore文件不在Tomcat认为的缺省位置（一个在Tomcat运行的home目录下的叫.keystore的文件），则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。keystorePass如果使用了一个与Tomcat预期不同的keystore（和证书）密码，则加入该属性。keystoreType如果使用了一个PKCS12 keystore，加入该属性。有效值是JKS和PKCS12。sslProtocolsocket使用的加密/解密协议。如果使用的是Sun的JVM，则不建议改变这个值。

据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下，使用SSL。ciphers此socket允许使用的被逗号分隔的密码列表。缺省情况下，可以使用任何可用的密码。algorithm使用的X509算法。缺省为Sun的实现（SunX509）。对于IBM JVMS应该使用ibmX509。

对于其它JVM，参考JVM文档取正确的值。truststoreFile用来验证客户证书的TrustStore文件。truststorePass访问TrustStore使用的密码。缺省值是keystorePass。truststoreType如果使用一个不同于正在使用的KeyStore的TrustStore格式，加入该属性。有效值是JKS和PKCS12。

4.重新启动TOMCAT，访问https://localhost:8443一般情况下打开页面之前会提示确认证书的内容。选择OK就可以看到页面了

5.安装及查看证书。