为Tomcat配置SSL连接器，由eclipse调用

Question

当通过Netbeans调用时，我有一个运行在Tomcat下的web应用程序。我想让它在日食下运行。

应用程序运行，但是它的一个web服务调用失败了，因为有一条关于“握手错误”的消息。我读过关于为Tomcat配置SSL连接器以供使用的不同内容，但我还没有让它正常工作。

我立即感到困惑的是用于证书文件和证书密钥文件的密码。我现在有以下连接器：

    <Connector 
        SSLCertificateFile="c:\Program Files\Java\jdk1.7.0_07\jre\lib\security\csi_keystore.jks" 
        SSLCertificateKeyFile="c:\Program Files\Java\jdk1.7.0_07\jre\lib\security\jssecacerts" 
        SSLCipherSuite="RC4-SHA:HIGH:!ADH:!SSLv2:@STRENGTH" 
        SSLEnabled="true" 
        SSLPassword="psw1" 
        SSLProtocol="all" acceptCount="100" disableUploadTimeout="true" 
    enableLookups="false" executor="tomcatThreadPool" maxThreads="200" 
    port="443" scheme="https" secure="true"/>

以及在从Netbeans运行时传递给Tomcat的下列参数：

-Dhttps.proxyHost=127.0.0.1 -Dhttps.proxyPort=8888 -DproxySet=true 
-Xms1024m -Xmx1024m -server -Djava.awt.headless=true -XX:NewSize=256m 
-XX:MaxNewSize=256m -XX:PermSize=512m -XX:MaxPermSize=512m 
-XX:+UseConcMarkSweepGC -XX:+UseParNewGC 
-Djavax.net.ssl.keyStore="C:\Program Files\Java\jdk1.7.0_07\jre\lib\security\csi_keystore.jks" 
-Djavax.net.ssl.keyStorePassword=psw2 
-Djavax.net.ssl.trustStore="C:\Program Files\Java\jdk1.7.0_07\jre\lib\security\jssecacerts" 
-Djavax.net.ssl.trustStorePassword="psw2" 

查看Tomcat文档，我没有在我所得到的示例中看到"SSLCertificateFile“和"SSLCertificateKeyFile”参数；这些参数准确吗？密码是什么？

文档中有一个包含参数"keystore“和”keypass“的示例；这些参数是否等效？还是更喜欢？我还需要密钥文件和密码吗？

===编辑===

好的，我现在了解到JSSE和APR是Tomcat使用的SSL通信的不同实现，每个实现的配置是不同的。我确信我们正在使用JSSE；Netbeans的配置是

-Djavax.net.ssl.keyStore="C:\Program Files\Java\jdk1.7.0_07\jre\lib\security\csi_keystore.jks" 
-Djavax.net.ssl.keyStorePassword=thePassword
-Djavax.net.ssl.trustStore="C:\Program Files\Java\jdk1.7.0_07\jre\lib\security\jssecacerts" 
-Djavax.net.ssl.trustStorePassword="thePassword" 

添加到命令行以执行服务器(以及其他参数)，在我看来，这类似于JSSE参数。因此，我将以下连接器放入server.xml中：

<Connector 
    SSLEnabled="true"
    clientAuth="false" 
    keystoreFile="c:\Program Files\Java\jdk1.7.0_07\jre\lib\security\csi_keystore.jks"
    keystorePass="changeit" 
    maxThreads="200" 
    port="443" 
    protocol="org.apache.coyote.http11.Http11NioProtocol" 
    scheme="https" 
    secure="true"
    sslProtocol="TLS"
    enableLookups="false" 
/>

但我没有看到任何关于'trustStore‘或它的密码的东西。这些参数也应该在server.xml中吗？还是你看到我做错什么了？

我打开了详细调试(-Djavax.net.debug=all)；在我得到的异常点上，有以下几行：

[write] MD5 and SHA1 hashes:  len = 16
0000: 14 00 00 0C C5 D8 0A 7E   A5 D1 18 87 5A D6 EE EB  ............Z...
Padded plaintext before ENCRYPTION:  len = 36
0000: 14 00 00 0C C5 D8 0A 7E   A5 D1 18 87 5A D6 EE EB  ............Z...
0010: 7D D4 BE 23 3C DB 78 99   10 43 94 45 10 09 20 8A  ...#<.x..C.E.. .
0020: C7 41 74 B0                                        .At.
main, WRITE: TLSv1 Handshake, length = 36
[Raw write]: length = 41
0000: 16 03 01 00 24 5A 3F 83   45 A2 AA 61 7E F6 11 2D  ....$Z?.E..a...-
0010: 43 9D 15 A7 46 D7 FC 6B   F5 F2 26 BB 3E 35 D5 ED  C...F..k..&.>5..
0020: 0D 3F 81 84 6B BF 12 69   48                       .?..k..iH
[Raw read]: length = 5
0000: 15 03 01 00 02                                     .....
[Raw read]: length = 2
0000: 02 28                                              .(
main, READ: TLSv1 Alert, length = 2
main, RECV TLSv1 ALERT:  fatal, handshake_failure
%% Invalidated:  [Session-4, SSL_RSA_WITH_RC4_128_SHA]
main, called closeSocket()
main, handling exception: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
main, called close()
main, called closeInternal(true)
DEBUG:[22:01:36] Could not close WebServiceConnection
javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
  at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
  at sun.security.ssl.Alerts.getSSLException(Alerts.java:154)
  at sun.security.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:1977)
  at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1093)
  at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1328)
  at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1355)
  at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1339)
  at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:515)
  at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
  at sun.net.www.protocol.http.HttpURLConnection.getOutputStream(HttpURLConnection.java:1090)
  at sun.net.www.protocol.https.HttpsURLConnectionImpl.getOutputStream(HttpsURLConnectionImpl.java:250)
  at org.springframework.ws.transport.http.HttpUrlConnection.getRequestOutputStream(HttpUrlConnection.java:84)

当然，还有更多..。

Answer 1

首先，您应该知道Tomcat可以使用两个不同的SSL实现：

• JSSE实现作为Java运行时的一部分提供(自1.4起)。
• Apache (APR)实现，或称为tomcat的“本机库”，它默认使用OpenSSL引擎(这是需要遵循的最佳实践)。

现在使用的是第二个实现(我想您已经在服务器上安装了它)，但是SSLCertificateFile应该是证书文件的路径，SSLCertificateKeyFile应该是密钥文件的路径。您应该添加另一个名为SSLCertificateChainFile的属性，该属性应该指向CA根证书的位置。

下面是来自Tomcat Apache网站的APR连接器配置示例

<Connector port="443" maxHttpHeaderSize="8192"
                 maxThreads="150"
                 enableLookups="false" disableUploadTimeout="true"
                 acceptCount="100" scheme="https" secure="true"
                 SSLEnabled="true"
                 SSLCertificateFile="path/to/certificateFile/conf/localhost.crt"
                 SSLCertificateKeyFile="path/to/privatekeyFile/localhost.key" 
                 SSLPassword="keyStorePassw"
                 SSLCertificateChainFile="path/to/CAroot/certificate" keyAlias="youKeyAlias" 
                 SSLVerifyClient="optional" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" /> 

，否则，，如果您想使用JSSE实现，这里有一个如何实现它的示例：

<Connector port="443" maxHttpHeaderSize="8192" maxThreads="150"
 minSpareThreads="25" maxSpareThreads="75" enableLookups="false" 
 disableUploadTimeout="true" acceptCount="100" scheme="https" 
 secure="true" SSLEnabled="true" clientAuth="false" 
 sslProtocol="TLS" keyAlias="yourKeyAlias"
 keystoreFile="/path/to/yourKeystore/file.jks"
 keystorePass="keyStorePassw" />

FYI :使用、APR、、SSLCertificateFile和SSLCertificateKey属性来代替JSSE实现中使用的keystoreFile属性。

有关使用SSL 带有SSL的Tomcat配置tomcat的更多信息。