開啟server.xml檔案,開啟define a ssl http/1.1 connector on port 8443,刪除登出資訊。修改節點
具體如下:
keystorefile的路徑是tomcat的安裝路徑下的tomcat.keystore(使用keytool生成的證書庫檔案)
>;keytool -genkey -alias tomcat -keyalg rsa -keysize 1024 -validity 365 -keystore tomcat.keystore
keystorefile儲存了伺服器端的證書庫,用於客戶端認證。
常用的配置屬性:
clientauth
如果想要tomcat為了使用這個socket而要求所有ssl客戶出示乙個客戶證書,置該值為true。
keystorefile
如果建立的keystore檔案不在tomcat認為的預設位置(乙個在tomcat執行的home目錄下的叫.keystore的檔案),則加上該屬性。可以指定乙個絕對路徑或依賴$catalina_base環境變數的相對路徑。
keystorepass
如果使用了乙個與tomcat預期不同的keystore(和證書)密碼,則加入該屬性。
keystoretype
如果使用了乙個pkcs12 keystore,加入該屬性。有效值是jks和pkcs12。
sslprotocol
socket使用的加密/解密協議。如果使用的是sun的jvm,則不建議改變這個值。據說ibm的1.4.1版的tls協議的實現和一些流行的瀏覽器不相容。這種情況下,使用ssl。
ciphers
此socket允許使用的被逗號分隔的密碼列表。預設情況下,可以使用任何可用的密碼。
algorithm
使用的x509演算法。預設為sun的實現(sunx509)。對於ibm jvms應該使用ibmx509。對於其它jvm,參考jvm文件取正確的值。
truststorefile
用來驗證客戶證書的truststore檔案。
truststorepass
訪問truststore使用的密碼。預設值是keystorepass。
truststoretype
如果使用乙個不同於正在使用的keystore的truststore格式,加入該屬性。有效值是jks和pkcs12。
使用https://localhost:8443 就可以進行ssl連線的檢測
Tomcat 配置雙向SSL
根證書 1.建立ca工作目錄 mkdir ca cd ca 2.生成ca私鑰 openssl genrsa out ca key.pem 1024 3.生成待簽名證書 openssl req new out ca req.csr key ca key.pem 即為ca根證書,可將其下發到客戶端,匯入...
Tomcat 簡單配置 SSL
1.生成 server key 以命令列方式切換到目錄 tomcat home 在command命令列輸入如下命令 jdk1.4 以上帶的工具 keytool genkey alias tomcat keyalg rsa keypass changeit storepass changeit key...
TOMCAT配置SSL協議
近來在公司掃瞄伺服器發現安全方面的高危漏洞,是由於sslv2,sslv3這些ssl版本受到幾個加密缺陷的影響。攻擊者可以利用這些缺陷進行中間人攻擊或解密受影響的服務與客戶端之間的通訊,以禁用ssl 2.0和3.0。使用tls 1.1 使用經過驗證的密碼套件 或更高版本。下面先簡單介紹下這兩種協議 小...