Terry.Li-彬

虚其心,可解天下之问;专其心,可治天下之学;静其心,可悟天下之理;恒其心,可成天下之业。

  BlogJava :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理 ::
  143 随笔 :: 344 文章 :: 130 评论 :: 0 Trackbacks

本文演示了在产生服务器端和客户端证书之后, 如何在 Tomcat 5.5 上进行双向 SSL 的配置.

关于如何产生证书, 请参考 Tomcat5SSL_ServerAndClient.

首先, 到 http://tomcat.apache.org 下载 Tomcat 5.5 的最新版本, 我下载的是 Tomcat 5.5.15 的 tar.gz 方式发布版本, 解压缩到一个目录(本文中是解压缩在 C:"TEMP"ssl 目录下).


说明: 本文所使用的例子可以在这里下载(使用右键菜单"目标另存为...")
下面开始进行配置:

第一步: 将服务器端证书 ssl-test.net-tomcat.keystore 复制到 Tomcat 的 conf 目录中

第二步: 修改 Tomcat 的 conf 目录下 server.xml 文件, 加上 SSL Connector 的定义

  • 注意: 如果需要使用双向 SSL(即客户端也要求使用证书), 那么必须设置 clientAuth="true";
  • 顺便把 HTTP Connector 的 URLEncoding 也设置成 UTF-8, 这个主要是为了解决一些中文问题(与本试验无关, 你也可以不配置):

第三步: 在 Tomcat 的 webapps 目录下建立一个新的 Web 应用 "ssltest", 编辑 ssltest 目录下 WEB-INF/web.xml, 配置 ssltest/ssl/ 目录下的内容为必须通过 SSL 方式才能访问

第四步: 写两个完全一样的测试页面, 分别放在 ssltest/ 和 ssltest/ssl/ 目录下, 按照上一步的配置, ssltest/ssl/ 目录下的测试页面必须通过 SSL 方式才能访问

第五步: 导入客户端证书到浏览器中(双击客户端证书文件 "web-client.p12" 即可导入 IE)

实际运行效果

配置完毕后, 启动 Tomcat, 可以看到 http://localhost:8080/ssltest/test.jsp 能够使用普通的 HTTP 方式访问, 而通过 http://localhost:8080/ssltest/ssl/test.jsp 对 ssltest/ssl 目录下内容的访问则会自动切换到 https://localhost:8443 上去了; 同时可以看到, 使用 HTTPS 方式访问时, 客户端证书的 Subject 可以被 jsp 页面获得:
试着在浏览器里面把导入的证书删除, 你会发现 ssltest/ssl 目录下的内容已经不能访问了:

相关下载

本文所涉及的文件可以在下列地址下载:
posted on 2008-02-13 22:03 礼物 阅读(348) 评论(0)  编辑  收藏 所属分类: CA