Tomcat SSL

btpka3

发现越来越忙了，么儿都是蜻蜓点水，浅尝辄止，要需的东西N多，没心情把某一项东东弄的很透彻了。

暂时开个题，以后慢慢更新吧~~~


Tomcat 6.0 SSL

1. 新解压安装 Tomcat 6.0
2. 通过JDK的keytool，创建一个keystore，并创建一个自签名的公钥密钥对儿。
CMD /> %JAVA_HOME%\bin\keytool -genkeypair -alias mykey -keyalg RSA -keysize 1024 -sigalg SHA1withRSA -dname "CN=zhang3, OU=No.1 Department, O=ABCSystems.Inc, L=Weihai, S=Shandong, C=ZH" -validity 365 -keypass 123456 -keystore C:/.keystore -storepass 123456

这里没有指定keyStore的类型，默认值位于Security properties，比如常见的类型有 JKS, PKCS11 or PKCS12，JDK默认的就是第一个。
注意：-keypass 和 -storepass tomcat貌似是要求一致的。

3. 修改tomcat的配置文件 server.xml
打开被注释的以下几行，并追加部分参数(红色部分)：

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"
               keystoreFile="C:/.keystore"
               keystorePass="123456"/>

4. OK, 此时就可以通过 SSL访问以下地址了。
     http://localhost:8443/


残留问题：
1. 上面的配置是单向认证（客户端认证服务器的身份），如果启用双向认证，keystore中的证书该如何维护？证书的信任链该如何维护？证书的吊销列表该如何维护？如果是Web程序，安装在浏览器中的文件证书的安全性能否保证（除了使用插件？）

2. 如何强制某些URL必须使用SSL？某些URL不能使用SSL？