Linux下Tomcat6配置HTTPS单向认证

### tomcat6配置： 

- 1.单向认证，就是传输的数据加密过了，但是不会校验客户端的来源 

- 2.双向认证，如果客户端浏览器没有导入客户端证书，是访问不了web系统的，找不到地址 

- 如果只是加密，单向就行；如果想要用系统的人没有证书就访问不了系统的话，就采用双向 

- http默认使用的是8080端口，如果URL里面端口号也懒得输，就改为80.

- https默认使用的是8443端口，如果URL里面端口号也懒得输，就改为443.

### 1.进入到linux目录下

- cd /data1/tomcat/conf/

### 2.生成证书

- keytool -genkey -alias tomcat -keyalg RSA -validity 36500 -keystore /data1/tomcat/conf/.keystore

- 参数简要说明：/data1/tomcat/conf/.keystore含义是将证书文件的保存路径，证书文件名称是.keystore

- -validity 36500 含义是证书有效期，36500表示100年，默认值是90天 tomcat 为自定义证书名称

```

[root@test_server conf]# keytool -genkey -alias tomcat -keyalg RSA -validity 36500 -keystore /data1/tomcat/conf/.keystore

Enter keystore password:  

Re-enter new password: 

What is your first and last name?

  [Unknown]:  180.*.*.*

What is the name of your organizational unit?

  [Unknown]:  xxx

What is the name of your organization?

  [Unknown]:  xxx

What is the name of your City or Locality?

  [Unknown]:  chongqing

What is the name of your State or Province?

  [Unknown]:  chongqing

What is the two-letter country code for this unit?

  [Unknown]:  cn

Is CN=180.*.*.*, OU=xxx, O=xxx, L=chongqing, ST=chongqing, C=cn correct?

  [no]:  y

Enter key password for <tomcat>
(RETURN if same as keystore password):  

Re-enter new password: 

```

- 在命令行填写必要参数： 

- A、 输入keystore密码：此处需要输入大于6个字符的字符串(1q2w3e4r)。 

- B、 “您的名字与姓氏是什么？”这是必填项，并且必须是TOMCAT部署主机的域名或者IP[如：zhao.com 或者 10.1.25.251]（就是你将来要在浏览器中输入的访问地址），否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入“localhost”。 

- C、 你的组织单位名称是什么？”、“您的组织名称是什么？”、“您所在城市或区域名称是什么？”、“您所在的州或者省份名称是什么？”、“该单位的两字母国家代码是什么？”可以按照需要填写也可以不填写直接回车，在系统询问“正确吗？”时，对照输入信息，如果符合要求则使用键盘输入字母“y”，否则输入“n”重新填写上面的信息。 

- D、 输入<tomcat>的主密码，这项较为重要，会在tomcat配置文件中使用，建议输入与keystore的密码一致，设置其它密码也可以，完成上述输入后，直接回车则在你在第二步中定义的位置找到生成的文件。 

### 3.配置tomcat/conf/目录下的server.xml

```

    <Connector port="80" protocol="HTTP/1.1" 

               connectionTimeout="20000" 

               maxPostSize="0"

               redirectPort="443"

               URIEncoding="UTF-8" />

               

    <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" 

               SSLEnabled="true" maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS"

               keystoreFile="/data1/tomcat/conf/.keystore" 

               keystorePass="1q2w3e4r"

               connectionTimeout="20000" 

               maxPostSize="0"

               redirectPort="443"

               URIEncoding="UTF-8" />

    <Connector port="8009" protocol="AJP/1.3" redirectPort="443" />               

```

- clientAuth="false" 即是单向认证

### 4.应用程序HTTP自动跳转到HTTPS

- 在应用程序中web.xml中加入以下代码，即可控制那些路径走http协议，那些路径走https协议： 

```

<login-config>    

    <!-- Authorization setting for SSL -->    

    <auth-method>CLIENT-CERT</auth-method>    

    <realm-name>Client Cert Users-only Area</realm-name>    

</login-config>    

<security-constraint>    

    <!-- Authorization setting for SSL -->    

    <web-resource-collection >    

        <web-resource-name >SSL</web-resource-name>    

        <url-pattern>/*</url-pattern>    

    </web-resource-collection>    

    <user-data-constraint>    

        <transport-guarantee>CONFIDENTIAL</transport-guarantee>    

    </user-data-constraint>    

</security-constraint>  

```

### 5.浏览器访问https

- 重启tomcat

- 访问：https://180.*.*.*/***