Tomcat配置成https后,如过使用的是自己的证书,登陆首页时,总是提示证书安全问题,网上的很多资料有描述,但比较复杂,找了几个配置不成功,现在描述一个比较简单的方法。
生成证书的脚本
#!/bin/bash
if [ $# = 1 ] ; then
IP=$1
fi
echo "https trust ip: $IP "
if [ -d gen ]; then
rm -r -f gen
fi
mkdir -p gen
KEY=gen/demo.keystore
PASSWD=demo
if [ -f $KEY ]; then
rm -f $KEY
fi
#server
keytool -genkey -v -alias demo-keyalg RSA -keypass $PASSWD -keystore $KEY -storepass $PASSWD -validity 3650 -dname "CN=$IP,OU=demo,L=beijing,ST=china,C=cn"
#client
keytool -keystore $KEY -keypass $PASSWD -storepass $PASSWD -export -alias demo -file gen/demo.cer
如上的demo.keystore是供tomcat使用的证书
demo.cer是供客户端使用的证书
其中的IP,必须是提供服务的web服务地址,否则浏览器登陆时仍会出现证书安全问题
tomcat配置
Conf/server.xml的配置
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="demo.keystore" keystorePass="demo"
URIEncoding="UTF-8"
/>
注意clientAuth使用仅服务端认证,否则使用双向的认证,更复杂一些,网上有相关资料
浏览器证书导入
demo.cer 导入到浏览器的客户端中,Windows下导入的步骤:
IE/Chrome: 双击demo.cer ,导入到“受信任的根证书颁发机构”下
FireFox:工具/选项/高级 下点击“查看证书”,在“证书机构”选项卡中导入demo.cer ,然后选择“IP“的证书项,点击“编辑信任”,选择信任即可
以上设置完成后,使用https://IP 访问web服务器,此时就不会再提示“证书信任”问题了