数字证书与Tomcat的双向认证设置详解

2008年10月17日 星期五 14:18理解单向双向认证：

单向认证：客户端向服务器发送消息，服务器接到消息后，用服务器端的密钥库中的私钥对数据进行加密，然后把加密后的数据和服务器端的公钥一起发送到 客户端，客户端用服务器发送来的公钥对数据解密，然后在用传到客户端的服务器公钥对数据加密传给服务器端，服务器用私钥对数据进行解密，这就完成了客户端 和服务器之间通信的安全问题，但是单向认证没有验证客户端的合法性。

双向认证：客户端向服务器发送消息，首先把消息用客户端证书加密然后连同时把客户端证书一起发送到服务器端，服务器接到消息后用首先用客户端证书把 消息解密，然后用服务器私钥把消息加密，把服务器证书和消息一起发送到客户端，客户端用发来的服务器证书对消息进行解密，然后用服务器的证书对消息加密， 然后在用客户端的证书对消息在进行一次加密，连同加密消息和客户端证书一起发送到服务器端，到服务器端首先用客户端传来的证书对消息进行解密，确保消息是 这个客户发来的，然后用服务器端的私钥对消息在进行解密这个便得到了明文数据。

进行单向认证
1.使用keytool生成证书库文件
     在命令行窗口上执行下列命令：
     >keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore 
     会在当前目录下生成文件tomcat.keystore。记住当时输入的密码（假设为123456）。
注：keytool文件是在Java的bin目录下。
2.将生成的tomcat.keystore文件放在TOMCAT/conf下。
3.修改server.xml文件：
     去掉下面SSL Connector的注释,修改为如下： 
    <!-- Define an SSL HTTP/1.1 Connector on port 8443 --> 

<Connector     
    port="8443" maxHttpHeaderSize="8192"
    maxThreads="150" minSpareThreads="25"
    maxSpareThreads="75"
    enableLookups="false" 
    disableUploadTimeout="true"
    acceptCount="100" scheme="https"
    secure="true"
    clientAuth="false" sslProtocol="TLS" 
    keystoreFile="conf/tomcat.keystore" 
    keystorePass="123456" />

参数说明：