环境中配置SSL双向认证

1、在Java环境中配置SSL双向认证在Java环境中配置Https双向认证，需要使用JDK自带的keytool工具，在命令行方式下，生成服务器证书申请文CSR，然后到CA签发服务器证书。以下为在Tomcat和Weblogic中配置Https双向认证的步骤，环境为JDK1.5。1在Tomcat中配置HTTPS双向认证在Tomcat5.0中配置Https双向认证的步骤如下：1 产生keystore文件：keytool -genkey -alias tomcat -keyalg RSA -keystore keystore此时可在当前目录下看到keystore文件。申请服务器证书时，CN需要和网站的域

2、名或者IP相同，否则IE7会认为该证书是为别的网站颁发的。2 生成服务器证书申请文件CSR：keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore此时可在当前目录下看到文件certreq.csr。把certreq.csr文件内容和DN提交到CA管理员，即可申请到服务器证书。DN为：CN=, OU=research, O=cwca, L=YC, ST=NX, C=CN。从CA获得的服务器证书为user.p7b，可从其中分别导出base64格式的根证和服务器证书：NXCA.cer和client.

3、cer。3 将根证书导入到keystore文件中：keytool -import -trustcacerts -alias root -file NXCA.cer -keystore keystore4 将服务器证书导入到keystore文件中：keytool -import -alias tomcat -file client.cer -keystore keystore5.进行Tomcat的配置：把keystore文件拷入%CATALINA_HOME%/conf目录下；修改文件%CATALINA_HOME%/conf/server.xml,知道 <Connector port=&qu

4、ot;8443" 这一行，默认是注释掉的；去掉注释，然后增加两行：keystoreFile="/conf/keystore" keystorePass="12345678" truststoreFile="/conf/keystore" truststorePass="12345678"修改结果如下图：如果clientAuth="false"，则服务器不需要客户端证书；如果clientAuth="true"，则客户端必须提供证书才能进行访问。6启动Tomcat，输入

5、5:8443/，即可访问应用；Https默认端口为443，如果把监听端口改为443，则访问时就不需要加端口号了。Tomcat5.0和Tomcat6.0的配置过程相同。2在Weblogic中配置HTTPS双向认证在Weblogic8.1中配置Https双向认证的步骤如下：1 产生keystore文件：keytool -genkey -alias weblogic -keyalg RSA -keystore weblogic.jks此时可在当前目录下看到weblogic.jks文件。2.生成服务器证书申请文件CSR：keytool -certreq -keyal

6、g RSA -alias weblogic -file certreq.csr -keystore weblogic.jks此时可在当前目录下看到文件certreq.csr。把certreq.csr文件内容和DN提交到CA管理员，即可申请到服务器证书。DN为：CN=, OU=research, O=cwca, L=YC, ST=NX, C=CN。从CA获得的服务器证书为user.p7b，可从其中分别导出base64格式的根证和服务器证书：NXCA.cer和TESTSERVER.cer。3. 导入根证书NXCA.cer到weblogic.jks中keytool -import -alias te

7、stroot -trustcacerts -file NXCA.cer -keystore weblogic.jks4. 导入服务器证书TESTSERVER.cer到weblogic.jks中keytool -import -trustcacerts -alias weblogic -file TESTSERVER.cer -keystore weblogic.jks5.进入Weblogic管理页面进行配置：A.进入Weblogic控制台：http:/localhost:7001/consoleB.选择：mydomain->Servers->myserver->General

8、页面，找到属性：SSL Listen Port Enabled，将其选中，如图：在此可以修改SSL监听端口为443。C.进入D:beaweblogic81目录，新建文件夹jks，把weblogic.jks拷入其中。D.进入myserver->Keystores & SSL页面，做如下配置：属性Keystore Configuration->Identity中：Custom Identity Keystore的值为：D:beaweblogic81jksweblogic.jks；Type值为：jks；输入两次Keystore密码；属性Keystore Configuration

9、->Trust 的属性值和Identity相同；属性SSL Configuration->Identity中：Private Key Alias的值为Keystore的别名weblogic；输入两次Keystore密码；配置如下图：配置完成，点击页面右下角的Apply即可。E.以上为SSL单项认证，如果要配置SSL双向认证，在Keystores & SSL  页面中：点击属性Advanced Options的show，如图：找到属性Two Way Client Cert Behavior，将其值改为：Client Certs Requested And

10、Enforced，如图：点击页面右下角的Apply即可。F.重启Weblogic服务，在IE地址栏中输入：，即可访问应用。Weblogic8.1以上版本与此配置方法相同。3在Websphere6.1中配置HTTPS双向认证1. 产生keystore文件：keytool -genkey -alias server -keyalg RSA -keystore keystore2. 生成服务器证书申请文件CSR：keytool -certreq -keyalg RSA -alias server -file certreq.csr -keystore keystore3. 将根证书导入到keysto

11、re文件中：keytool -import -trustcacerts -alias root -file NXCA.cer -keystore keystore4. 将服务器证书导入到keystore文件中：keytool -import -alias tomcat -file client.cer -keystore keystore5. Webphere6.1双向认证设置，打开Webphere6.1控制台，点击左侧窗口安全性，点开后里边有ssl证书和密钥管理选项点击它。然后点击管理端点安全配置，点击点击密钥库和证书，然后点击新建新建密钥库和证书，填入名称，keystore文件的路径，keystore文件的密码，类型选为jks然后点ssl配置新建一个ssl配置列表如下图所示：选择你信任