環(huán)境中配置SSL雙向認證

1、在Java環(huán)境中配置SSL雙向認證在Java環(huán)境中配置Https雙向認證，需要使用JDK自帶的keytool工具，在命令行方式下，生成服務器證書申請文CSR，然后到CA簽發(fā)服務器證書。以下為在Tomcat和Weblogic中配置Https雙向認證的步驟，環(huán)境為JDK1.5。1在Tomcat中配置HTTPS雙向認證在Tomcat5.0中配置Https雙向認證的步驟如下：1 產(chǎn)生keystore文件：keytool -genkey -alias tomcat -keyalg RSA -keystore keystore此時可在當前目錄下看到keystore文件。申請服務器證書時，CN需要和網(wǎng)站的域

2、名或者IP相同，否則IE7會認為該證書是為別的網(wǎng)站頒發(fā)的。2 生成服務器證書申請文件CSR：keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore此時可在當前目錄下看到文件certreq.csr。把certreq.csr文件內(nèi)容和DN提交到CA管理員，即可申請到服務器證書。DN為：CN=, OU=research, O=cwca, L=YC, ST=NX, C=CN。從CA獲得的服務器證書為user.p7b，可從其中分別導出base64格式的根證和服務器證書：NXCA.cer和client.

3、cer。3 將根證書導入到keystore文件中：keytool -import -trustcacerts -alias root -file NXCA.cer -keystore keystore4 將服務器證書導入到keystore文件中：keytool -import -alias tomcat -file client.cer -keystore keystore5.進行Tomcat的配置：把keystore文件拷入%CATALINA_HOME%/conf目錄下；修改文件%CATALINA_HOME%/conf/server.xml,知道 <Connector port=&qu

4、ot;8443" 這一行，默認是注釋掉的；去掉注釋，然后增加兩行：keystoreFile="/conf/keystore" keystorePass="12345678" truststoreFile="/conf/keystore" truststorePass="12345678"修改結(jié)果如下圖：如果clientAuth="false"，則服務器不需要客戶端證書；如果clientAuth="true"，則客戶端必須提供證書才能進行訪問。6啟動Tomcat，輸入

5、5:8443/，即可訪問應用；Https默認端口為443，如果把監(jiān)聽端口改為443，則訪問時就不需要加端口號了。Tomcat5.0和Tomcat6.0的配置過程相同。2在Weblogic中配置HTTPS雙向認證在Weblogic8.1中配置Https雙向認證的步驟如下：1 產(chǎn)生keystore文件：keytool -genkey -alias weblogic -keyalg RSA -keystore weblogic.jks此時可在當前目錄下看到weblogic.jks文件。2.生成服務器證書申請文件CSR：keytool -certreq -keyal

6、g RSA -alias weblogic -file certreq.csr -keystore weblogic.jks此時可在當前目錄下看到文件certreq.csr。把certreq.csr文件內(nèi)容和DN提交到CA管理員，即可申請到服務器證書。DN為：CN=, OU=research, O=cwca, L=YC, ST=NX, C=CN。從CA獲得的服務器證書為user.p7b，可從其中分別導出base64格式的根證和服務器證書：NXCA.cer和TESTSERVER.cer。3. 導入根證書NXCA.cer到weblogic.jks中keytool -import -alias te

7、stroot -trustcacerts -file NXCA.cer -keystore weblogic.jks4. 導入服務器證書TESTSERVER.cer到weblogic.jks中keytool -import -trustcacerts -alias weblogic -file TESTSERVER.cer -keystore weblogic.jks5.進入Weblogic管理頁面進行配置：A.進入Weblogic控制臺：http:/localhost:7001/consoleB.選擇：mydomain->Servers->myserver->General

8、頁面，找到屬性：SSL Listen Port Enabled，將其選中，如圖：在此可以修改SSL監(jiān)聽端口為443。C.進入D:beaweblogic81目錄，新建文件夾jks，把weblogic.jks拷入其中。D.進入myserver->Keystores & SSL頁面，做如下配置：屬性Keystore Configuration->Identity中：Custom Identity Keystore的值為：D:beaweblogic81jksweblogic.jks；Type值為：jks；輸入兩次Keystore密碼；屬性Keystore Configuration

9、->Trust 的屬性值和Identity相同；屬性SSL Configuration->Identity中：Private Key Alias的值為Keystore的別名weblogic；輸入兩次Keystore密碼；配置如下圖：配置完成，點擊頁面右下角的Apply即可。E.以上為SSL單項認證，如果要配置SSL雙向認證，在Keystores & SSL  頁面中：點擊屬性Advanced Options的show，如圖：找到屬性Two Way Client Cert Behavior，將其值改為：Client Certs Requested And

10、Enforced，如圖：點擊頁面右下角的Apply即可。F.重啟Weblogic服務，在IE地址欄中輸入：，即可訪問應用。Weblogic8.1以上版本與此配置方法相同。3在Websphere6.1中配置HTTPS雙向認證1. 產(chǎn)生keystore文件：keytool -genkey -alias server -keyalg RSA -keystore keystore2. 生成服務器證書申請文件CSR：keytool -certreq -keyalg RSA -alias server -file certreq.csr -keystore keystore3. 將根證書導入到keysto

11、re文件中：keytool -import -trustcacerts -alias root -file NXCA.cer -keystore keystore4. 將服務器證書導入到keystore文件中：keytool -import -alias tomcat -file client.cer -keystore keystore5. Webphere6.1雙向認證設(shè)置，打開Webphere6.1控制臺，點擊左側(cè)窗口安全性，點開后里邊有ssl證書和密鑰管理選項點擊它。然后點擊管理端點安全配置，點擊點擊密鑰庫和證書，然后點擊新建新建密鑰庫和證書，填入名稱，keystore文件的路徑，keystore文件的密碼，類型選為jks然后點ssl配置新建一個ssl配置列表如下圖所示：選擇你信任