apache-tomcat配置SSL双向认证

Apache Tomcat配置SSL双向认证是实现安全通信的重要步骤，尤其对于需要高度安全性的Web应用程序。在本文中，我们将深入探讨如何在Tomcat 6环境中设置SSL双向认证，确保客户端和服务器之间的通信既加密又经过身份验证。 系统需要满足以下前提条件： 1. JDK 5.0 或更高版本 2. Tomcat 6.0.16 或更新版本 **第一步：为服务器生成证书** 使用JDK自带的keytool工具为服务器创建SSL证书。例如，如果你的服务器域名是“localhost”，证书存储在“C:\tomcat.keystore”，口令同样为“password”，可以执行以下命令： ```shell keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650 -keystore c:\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password ``` 这里的`-dname`参数定义了X.500名称，包括组织、单位、城市、州和国家，确保它们与你的实际信息相符。如果服务器的域名不是“localhost”，应替换为实际域名，否则浏览器会显示警告。 **第二步：为客户端生成证书** 接下来，我们需要为浏览器生成一个PKCS12格式的证书，以便服务器能验证客户端的身份： ```shell keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12 -validity 3650 -keystore C:\my.p12 -dname "CN=MyKey,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password ``` 这里的CN（Common Name）可以自定义，但建议与客户端的实际身份相匹配。 **第三步：让服务器信任客户端证书** 为了让服务器信任客户端，需要将客户端证书导入服务器的信任证书库。将PKCS12格式的证书导出为CER文件： ```shell keytool -export -alias myKey -keystore C:\my.p12 -storetype PKCS12 -storepass password -rfc -file C:\my.cer ``` 然后，将CER文件导入服务器的keystore： ```shell keytool -import -v -file C:\my.cer -keystore c:\tomcat.keystore -storepass password ``` 确认证书已成功导入并查看证书库： ```shell keytool -list -keystore c:\tomcat.keystore -storepass password ``` **第四步：配置Tomcat服务器** 编辑Tomcat的`conf/server.xml`文件，找到连接器（Connector）配置，将其修改为支持SSL双向认证： ```xml <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="C:/tomcat.keystore" keystorePass="password" truststoreFile="C:/tomcat.keystore" truststorePass="password"/> ``` 同时，确保在应用程序的`WEB-INF/web.xml`文件中添加以下授权设置，以启用客户端证书认证： ```xml <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name> </login-config> <security-constraint> <!-- Authorization setting for SSL --> <web-resource-collection> <web-resource-name>Protected Area</web-resource-name> <url-pattern>/protected/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> ``` 完成以上步骤后，Tomcat服务器便配置好SSL双向认证。现在，客户端在访问服务器时需要提供有效的证书进行身份验证，以确保数据传输的安全性。 请注意，实际生产环境中，证书通常由权威的证书颁发机构（CA）签署，以避免浏览器显示不受信任的警告。在开发和测试阶段，自签名证书可能就足够了。同时，生产环境中，keystore和truststore的密码应该更加复杂且安全，不要使用像"password"这样的简单密码。