Java Tomcat SSL 服务端/客户端双向认证（二）

摘要: SSL 服务端/客户端双向认证项目演示

SSL 服务端/客户端双向认证 简单演示

演示之前我们要先生成客户端服务端证书，证书生成过程参见：

Java Tomcat SSL 服务端/客户端--双向证书生成

一、创建演示项目

一个简单的web项目：



说明：该演示项目强制使用了SSL，即普通的HTTP请求也会强制重定向为HTTPS请求，web.xml中添加如下配置如下：

<!-- 强制SSL配置，即普通的请求也会重定向为SSL请求 -->
<security-constraint>
<web-resource-collection>
<web-resource-name>TestCrt</web-resource-name>
<url-pattern>/*</url-pattern><!-- 全站使用SSL -->
</web-resource-collection>
<user-data-constraint>
<description>SSL required</description>
<!-- CONFIDENTIAL: 要保证服务器和客户端之间传输的数据不能够被修改，且不能被第三方查看到 -->
<!-- INTEGRAL: 要保证服务器和client之间传输的数据不能够被修改 -->
<!-- NONE: 指示容器必须能够在任一的连接上提供数据。（即用HTTP或HTTPS，由客户端来决定）-->
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>

也可以去除，这样HTTP和HTTPS都可以访问。

二 、Tomat配置

使用文本编辑器编辑conf/server.xml
找到Connector port="8443"的标签，取消注释，并修改成如下：

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="S:/ssl/server.keystore" keystorePass="123456"
truststoreFile="S:/ssl/server.keystore" truststorePass="123456"/>

三、演示及配置

发布演示项目，通过浏览器访问：http://127.0.0.1:8081/TestCrt/或https://127.0.0.1:8443/TestCrt/，得到相同的结果，如图：





出现这样的原因是因为客户端没有通过服务端的安全认证，接下来将服务端给客户端颁发的证书导入到浏览器中，找到我们生成的：


client.p12双击安装。弹出安装向导如下图：



点击下一步：



继续下一步



输入我们的秘钥



继续下一步



继续下一步



点击完成



继续访问：http://127.0.0.1:8081/TestCrt/或https://127.0.0.1:8443/TestCrt/。



IE浏览器自动阻止了继续访问，并给予警告提示，原因是浏览器中未导入该网站的可信证书。

点击“继续浏览此网站”



鲜红的地址栏，够醒目吧！提示你访问的网站不安全！

如何解决这个问题呢？

从图可以看出，客户端并没有服务端那么严格，只要未通过验证就甭想访问，下面将服务端生成的信任证书导入到浏览器的根证书中，这样红色的地址栏就会消失了！

开始导入服务端信任证书，双击“server.cer”，导入到受信任的根证书机构中去。



点击安装证书，和上面的步骤一样，唯一不同的就是需要把证书导入可信任的如下图：



然后一直下一步，最后有这样的提示：



选择是



然后查看我们的证书是否导入，如何查看证书大家想必都知道，我这里就截图说明我们的证书已经安装了。



把所有浏览器窗口都关掉，再次访问网站，发现鲜红色已经逝去，多了一个小锁的图标。



一切正常了，双向认证的演示结束了！