《Tomcat6和Tomcat7配置SSL通信的比较》

作者：chszs，转载需注明。博客主页：

在项目开发过程中，尝尝会遇到Tomcat需要SSL通信的需求。尤其是在需要安全Web应用时，需要HTTPS协议的通信。由于Tomcat默认情况下没有提供SSL通信设置，因此必须明白如何在Tomcat下配置SSL。更糟糕的是，Tomcat的不同版本，其SSL配置有所不同。所以，本文将讲述如何在Tomcat的主要版本（即6和7）下，配置SSL通信。

SSL、HTTPS和证书是任何Java程序员都应该了解的基础知识，尤其是对那些开发金融和安全敏感类的互联网应用的开发者。SSL、HTTPS和证书三者的协同工作，保证了客户端和服务器的安全通信。

开发使用HTTP协议访问的Web应用，安全是主要关心的问题。由于HTTP协议是以纯文本格式传输数据的，它在传输敏感信息（如用户名、密码、社保号、信用卡信息等）时，是很不安全的。HTTP协议不能保证网站的可靠性，URL的重定向可以使得假冒网站代替真正的网站，HTTP是不会阻止这一切的，也不会提醒用户。

HTTPS和SSL就是解决上述问题的。HTTPS是HTTP之上的SSL，SSL代表安全套接字层，它提供了网站的加密和验证。所以，那些商务网站、银行都在使用HTTPS协议。当使用HTTPS协议进行数据传输时，在客户端和服务器端之间传输前，数据是加密了的。因此，任何人都可以拦截或捕获HTTPS，但是看不到真实的内容。SSL还利用第三方发行机构（如VeriSign、godaddy，thwate等）发行的证书来验证网站的真实可靠性。

证书是怎样工作的呢？当客户端浏览器使用HTTPS连接到服务器，服务器返回第三方机构发行的证书。如果证书是Java程序，能访问到证书keystore和truststore的存根，浏览器端也有存储的可信证书，可验证服务器提供的证书。如果浏览器或任何Java客户端，没有找到这些证书，它会警告说证书不可识别，推荐你不访问此网站。你也可以手动信任任何网站，请求浏览器相信服务器提供的证书。

在开发的情况下，Tomcat返回自签名的证书或测试证书。对于Java程序员，JDK自带了一个keytool工具，他能用于创建自签名的证书，并存储到keystore和truststore供使用。

你可以从Windows的支持团队请求证书，或者使用工具如IBM IkeyMan或keytool命令产生证书，并放入truststore和keystore中。

一旦证书已经准备好，打开Tomcat/conf目录下的server.xml配置文件，查找Connector标签，它定义HTTPS通信，通常它被注释掉了，所以可以查找“Define a SSL HTTP/1.1 Connector on port 8443”，一旦找到，使用下面的配置进行替换。

在Tomcat6中定义SSL通信：

还需修改这个：

在Tomcat7中配置SSL通信：

怎样配置Java Web程序使用HTTPS

如果想要你的JavaEE Web程序使用HTTPS协议实现SSL通信，你需要在web.xml配置文件中添加：

      
         
      
       HelloSSL
          
      
       /*
        
       
         
      
       CONFIDENTIAL