Apache+Tomcat实现SSL Web前置访问操作说明.doc

Apache+Tomcat 实现 SSL Wen前置访问操作说明一、 生成证书生成证书需要用到两个文件，即：Apache 安装目录下：Binopenssl.exeCf该文件可能无法看到后缀名，但可根据资源管理器中“类型”栏值为“快速拨号”来确定1、 复制 f 到 bin 下2、 启动 cmd，并切换路径到 Apache 安装目录下的 bin 目录3、 运行 openssl req -config f -new -out server.csr -keyout server.pem输入一个不少于4个字符的证书保护口令，按回车键后，将再次输入确认口令：再次输入确认口令后按回车键，如果两次输入的口令一致，则转到输入两个字符的 Country Name项：输入中国国家代码 CN，按回车键：上图中红色框内信息不需要输入，直接按回车键直到输入 Common Name 项。Common Name即证书中的“颁发给”对象，这项的输入非常有讲究：最好使用经过 DNS 解析后的域名，同时考虑到避免多套应用系统需要安装多次证书的麻烦，可以采用 *. 通配符域名，如保利置业各OA系统的域名都以 . 结尾，则此处需输入 *.。输入该项后，后面的几项都不需要输入，直接按回车键直到该命令运行完成。4、 运行 openssl rsa -in server.pem -out server.key再次输入前一个命令中输入的证书保护口令并回车键。5、 运行 openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 4000其中的“4000”表示该证书的有效天数为 4000 天。二、 拷贝证书文件到 conf1、 在 Apache 安装目录下 conf/ 中创建一个 ssl 文件夹用于存放证书文件2、 拷贝证书文件到 conf/ssl/ 下证书生成工作完成后，所有的证书文件存放在 Apache 安装目录的 bin/ 下，证书文件主要包括如下几个文件：.rndserver.csrserver.pemserver.keyserver.crt将以上文件全部剪切到 conf/ssl/ 下：三、 修改 Apache 配置1、 修改 httpd.conf该文件在 Apache 安装目录的 conf/ 下。加载 SSL 模块：LoadModule ssl_module modules/mod_ssl.soLoadModule proxy_module modules/mod_proxy.soLoadModule proxy_ajp_module modules/mod_proxy_ajp.soLoadModule proxy_balancer_module modules/mod_proxy_balancer.soLoadModule proxy_http_module modules/mod_proxy_http.soLoadModule rewrite_module modules/mod_rewrite.soInclude conf/extra/httpd-vhosts.conf在 httpd.conf 中找到该行后，将其前面的注释符号 # 删除。引入 SSL 配置文件：Include conf/extra/httpd-ssl.conf在 httpd.conf 中找到该行后，将其前面的注释符号 # 删除。修改 ServerName:将 ServerName 中的域名或IP地址修改为与生成证书时输入的 Common Name 保持一致。其中冒号（:）后的端口号因 httpd.conf 提供的是 http 服务，所以不需要修改为 SSL 端口号。修改 ServerAdmin：ServerAdmin 后的域名必须与生成证书时输入的 Common Name 保持一致，但只需要取 Common Name 中第一个点号（.）后的内容。2、 修改 httpd-ssl.conf该文件在 Apache 安装目录的 conf/extra/ 下。修改侦听端口：Listen 443SSL 的默认端口为 443, 如果不使用该默认端口，则在此处修改。修改 ServerName:将 ServerName 中的域名或IP地址修改为与生成证书时输入的 Common Name 保持一致。其中端口号 443，可以根据实际情况修改，但必须与 Listen 中指定的端口号保持一致。修改 ServerAdmin：ServerAdmin 后的域名必须与生成证书时输入的 Common Name 保持一致，但只需要取 Common Name 中第一个点号（.）后的内容。检查 SSLEngine 开关：SSLEngine on要采用 https 访问，则 SSLEngine 开关必须打开，即设置为 on。修改 SSLCertificateFile：SSLCertificateFile E:/Apache/conf/ssl/server.crt此处指定的证书文件为生成证书后，拷贝到 conf/ssl/ 下的后缀名为 .crt 的文件。修改 SSLCertificateKeyFile：SSLCertificateKeyFile E:/Apache/conf/ssl/server.key此处指定的证书钥匙文件为生成证书后，拷贝到 conf/ssl/ 下的后缀名为 .key 的文件。3、 修改 httpd-vhosts.conf该文件在 Apache 安装目录的 conf/extra/ 下。修改 NameVirtualHost：NameVirtualHost *:443增加SSL端口号。其中 443 可根据 SSL 所使用的端口号进行调整，但需要与httpd-ssl.conf 中所指定的 SSL 端口号保持一致。修改 VirtualHost：同样需要增加端口号、修改 ServerAdmin中 后的域名与生成证书时输入的 Common Name 保持一致，以及增加 SSL 开关和指定证书文件路径。 ServerAdmin ProxyRequests On ProxyPass / ajp:/32:8049/ ProxyPassReverse / ajp:/32:8049/ DocumentRoot d:/WisePower_Servers/PolydqServer ServerName ServerAlias SSLEngine on SSLCertificateFile E:/Apache/conf/ssl/server.crt SSLCertificateKeyFile E:/Apache/conf/ssl/server.key ErrorLog logs/dq-error.log CustomLog logs/dq-access.log common DirectoryIndex login.jsp四、 修改 Tomcat 配置Tomcat安装目录下 conf/server.xml。修改 redirectPort=8443 中的 8443 端口为