CWhat is the name of your organizational unit?What is the name of your organization?What is the name of your City or Locality?What is the name of your State or Province?What is the two-letter country code for this unit? 可以按照需要填写也可以不填写直接回车, 在系统询问 correct? 时, 对照输入信息, 如果符合要求则使用键盘输入字母 y, 否则输入 n 重新填写上面的信息
DEnter key password for <tomcat>, 这项较为重要, 会在 tomcat 配置文件中使用, 建议输入与 keystore 的密码一致, 设置其它密码也可以
l 完成上述输入后, 直接回车则在你在第二步中定义的位置找到生成的文件
2 配置 TOMCAT 服务器
(1) 如果你是在 Windows 环境中生成证书文件, 则需要将生成的证书 tomcat.keystore 拷贝到 Tomcat 将要引用的位置, 假设 tomcat 的应用证书的路径是 / etc/tomcat.keystore, 则需要将证书文件拷贝到 etc / 下; 如果是在 Linux 环境按照上述介绍的步骤生成证书文件的话, 此时证书文件已经在 etc / 下
(2) 配置 Tomcat, 打开 $CATALINA_HOME/conf/server.xml, 修改如下,
- <Connector port="8080" protocol="HTTP/1.1"
- connectionTimeout="20000"
- redirectPort="8443" />
修改参数 =>
- <Connector port="80" protocol="HTTP/1.1"
- connectionTimeout="20000"
- redirectPort="443" />
- <!--
- <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
- maxThreads="150" scheme="https" secure="true"
- clientAuth="false" sslProtocol="TLS"/>
- -->
去掉注释且修改参数 =>
- <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150"
- scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat.keystore"
- keystorePass="www.gbcom.com.cn" />
注释: 标识为淡蓝色的两个参数, 分别是证书文件的位置和 < tomcat > 的主密码, 在证书文件生成过程中做了设置
<!--
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" />
-->
修改参数 =>
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" />
(3) 打开 $CATALINA_HOME/conf/web.xml, 在该文件末尾增加:
- <security-constraint>
- <web-resource-collection >
- <web-resource-name >SSL</web-resource-name>
- <url-pattern>/*</url-pattern>
- </web-resource-collection>
- <user-data-constraint>
- <transport-guarantee>CONFIDENTIAL</transport-guarantee>
- </user-data-constraint>
- </security-constraint>
3 上述配置完成后, 重启 TOMCAT 后即可以使用 SSLIE 地址栏中可以直接输入地址不必输入 http:// 或者 https:// ; 也可以输入 http:// 会跳转成为 https:// 来登录
4 注意事项:
(1) 生成证书的时间, 如果 IE 客户端所在机器的时间早于证书生效时间, 或者晚于有效时间, IE 会提示该安全证书已到期或还未生效
(2) 如果 IE 提示安全证书上的名称无效或者与站点名称不匹配, 则是由生成证书时填写的服务器所在主机的域名您的名字与姓氏是什么?/What is your first and last name? 不正确引起的
5 遗留问题:
(1) 如果 AC 主机不能通过域名查找, 必须使用 IP, 但是这个 IP 只有在配置后才能确定, 这样证书就必须在 AC 确定 IP 地址后才能生成
(2) 证书文件只能绑定一个 IP 地址, 假设有 10.1.25.250 和 192.168.1.250 两个 IP 地址, 在证书生成文件时, 如使用了 10.1.25.250, 通过 IE 就只能使用 10.1.25.250 来访问 AC-WEB,192.168.1.250 是无法访问 AC-WEB 的
来源: http://www.bubuko.com/infodetail-2491363.html