Linux环境下Tomcat的https的配置.doc

Linux环境下Tomcat的https的配置及其他配置一、系统环境引用操作系统：红旗 DC Server 5.0 for x86_64 SP2应用软件：Tomcat 5.5、jdk 1.5.0_04（系统自带）Tomcat 官方网站：/二、部署Tomcat1、下载从官方网站上下载二进制代码包，我选择的是：Binary Distributions - Core：# wget /tomcat/tomcat-5/v5.5.27/bin/apache-tomcat-5.5.27.tar.gz# tar xzvf apache-tomcat-5.5.27.tar.gz# mv mv apache-tomcat-5.5.27/ /usr/loca/tomcat5.5.272、查看系统自带java版本和路径执行：引用# java -versionjava version 1.5.0_04Java(TM) 2 Runtime Environment, Standard Edition (build 1.5.0_04-b05)Java HotSpot(TM) 64-Bit Server VM (build 1.5.0_04-b05, mixed mode)# type -a javajava is /usr/bin/javajava is /usr/lib/jdk/bin/java# ll /usr/bin/javalrwxrwxrwx1 root root 26 Dec 30 00:01 /usr/bin/java - /usr/java/default/bin/java# ll /usr/java/total 8lrwxrwxrwx1 root root 16 Dec 30 00:01 default - /usr/java/latestdrwxr-xr-x9 root root 4096 Sep 202007 jdk1.5.0_04lrwxrwxrwx1 root root 21 Dec 30 00:01 latest - /usr/java/jdk1.5.0_04# rpm -qf /usr/java/latest/bin/javajdk-1.5.0_04-fcs可见，系统中默认使用的java是在/usr/java目录，/usr/java/latest是个链接。（系统中/usr/lib/jdk也是个链接）3、设置环境变量在/root/.bashrc中增加：引用export JAVA_HOME=/usr/java/latestexport JRE_HOME=$JAVA_HOME/jreexport CLASSPATH=.:$JAVA_HOME/lib:$JAVA_HOME/jre/libexport PATH=$JAVA_HOME/bin:$HOME/bin:$ORACLE_HOME:$PATH4、启动Tomcat执行：引用# cd /usr/local/tomcat5.5.27/bin# ./startup.shUsing CATALINA_BASE: /usr/local/tomcat5.5.27Using CATALINA_HOME: /usr/local/tomcat5.5.27Using CATALINA_TMPDIR: /usr/local/tomcat5.5.27/tempUsing JRE_HOME: /usr/java/latest/jre# netstat -ln|grep 8080tcp00 :8080 :*LISTEN默认界面：三、部署httpsTomcat可以不需要依赖第三方的Web服务端，可直接支持OpenSSL或JSSE的证书，提供https加密链接访问支持。以下内容，参考Tomcat官方网站上的：SSL Configuration HOW-TO1、快速部署使用jdk提供的keytool工具常见证书：引用# pwd/root# keytool -genkey -alias tomcat -keyalg RSAEnter keystore password:changeit 需提供一个访问keystore的密码，默认是changeitWhat is your first and last name?Unknown:eportal.gz.gd.cpn 若需要部署CAS等应用，这需和今后使用的域名相同What is the name of your organizational unit? 下面的信息会写入证书中供用户获取证书时参考，根据实际情况填写Unknown:redflagWhat is the name of your organization?Unknown:redflagWhat is the name of your City or Locality?Unknown:GuangZhouWhat is the name of your State or Province?Unknown:GuangDongWhat is the two-letter country code for this unit?Unknown:GZIs CN=eportal.gz.gd.cpn, OU=redflag, O=redflag, L=GuangZhou, ST=GuangDong, C=GZ correct?no:yesEnter key password for (RETURN if same as keystore password):changeit 这需要填入访问key的密码，该密码用于区别存在于keystore中的其他证书。但按照Tomcat上的说明，必须和前面keystore密码相同完成后，会在用户主目录/root/下生成证书文件.keystore：引用# ll /root/.keystore-rw-r-r-1 root root 1376 Dec 30 13:42 /root/.keystore 注意：根据文档及屏幕的提示，在键入key密码时，可以直接回车表示和keystore的密码相同。但经测试，我直接回车后，在启动Tomcat https服务时，日志中报错：引用Dec 30, 2008 11:07:15 AM org.apache.catalina.startup.Catalina startSEVERE: Catalina.start:LifecycleException:service.getName(): Catalina;Protocol handler start failed: java.io.IOException: Keystore was tampered with, or password was incorrect所以，建议您还是老老实实的再敲一次keystore的密码吧。2、启动tomcat https监听然后，修改/usr/local/tomcat5.5.27/conf/server.xml文件，把原来已经注释SSL的部分取消，也就是激活：引用注意修改配置文件中keystorePass为keystore的密码，如果密钥不是存放在/root/.keystore，或使用了另外的文件名。可在配置文件中定义keystoreFile=/path/.keystore。（Tomcat的配置文件，使用的方式注释的）重启tomcat：引用# ./shutdown.shrootvmhost bin# ./startup.shrootvmhost bin# netstat -ln|grep 8443tcp00 :8443 :*LISTEN3、给JVM导入证书如果需要安装CAS，上面的工作还未完成，应把证书导入客户端的JVM上。首先，导出证书文件：引用# cd /root/# keytool -export -file server.crt -alias tomcatEnter keystore password:changit 输入keystore的密码Certificate stored in file 然后为客户端的JVM导入密钥：引用# keytool -import -keystore $JRE_HOME/lib/security/cacerts -file ./server.crt -alias tomcatEnter keystore password:changeit 输入changeit或已经设定的keystore密码Owner: CN=eportal.gz.gd.cpn, OU=redflag, O=redflag, L=guangzhou, ST=guangdong, C=GZIssuer: CN=eportal.gz.gd.cpn, OU=redflag, O=redflag, L=guangzhou, ST=guangdong, C=GZSerial number: 49599397Valid from: Tue Dec 30 11:20:55 GMT+08:00 2008 until: Mon Mar 30 11:20:55 GMT+08:00 2009Certificate fingerprints: MD5:9E:1C:53:B4:84:78:98:A7:66:53:B4:48:10:32:83:EC SHA1:BE:2F:F7:9C:62:5F:4B:48:3D:91:EC:A0:88:2D:32:30:EC:7E:D8:63Trust this certificate? no:yesCertificate was added to keystore最后，重新启动Tomcat即可。四、默认用户名和密码这是我首次使用Tomcat时遇到的困惑，相信也是很多朋友都会遇到的。就是访问Tomcat首页时，点击“Administration”部分的内容，都会提示需要输入用户名和密码。其在conf/tomca