Tomcat 配置 HTTPS双向认证

Tomcat 配置 HTTPS 双向认证
指引说明：

� 本文档仅提供 Linux 操作系统下的指引

� 在阅读本指引前请您在 Linux 部署 JDK 和 Tomcatserver
为了 Tomcat 支持使用腾讯提供的证书搭建 HTTPS 双向认证，大体上需要完成以下几项安装、配置：

1、 编译安装 openssl

2、 编译安装 apacheapr

3、 编译 tomcatnative 库

4、 配置 tomcatserver.xml 文件
部署安装目录说明 /data/java JAVA_HOME /data/tomcat Tomcat 的目录 /data/tomcat/crt 证书存放目录 /data/tomcat/linux_libs openssl/apache apr/tomcat native 的安 装目录，本文档下面的内容将指引大家 如何编译安装这些软件到该目录下

(一)编译 openssl
1、下载 openssl，官方网址：http://www.openssl.org/，本文档编写时最新版 本为：openssl-1.0.1l 2、解压、编译、安装 tarxzf openssl-1.0.1l.tar.gz cdopenssl-1.0.1l ./configshared--prefix=/data/tomcat/linux_libs make makeinstall

(二)编译 apacheapr 1、下载 apacheapr，官方网址：http://apr.apache.org/download.cgi，本文档 编写时最新版本为：apr-1.5.1 2、解压、编译、安装 tarxzf apr-1.5.1.tar.gz cdapr-1.5.1 ./configure--prefix=/data/tomcat/linux_libs make makeinstall

(三)编译 tomcatnative tomcatnative 跟随在 tomcat 发布包的 bin 目录下，一下是解压、编译、安装 步骤： cd/data/tomcat/bin tarxzf tomcat-native.tar.gz cdtomcat-native-* ./configure--with-ssl=/data/tomcat/linux_libs\ --with-apr=/data/tomcat/linux_libs\ --with-java-home=/data/java\ --prefix=/data/tomcat/linux_libs make makeinsall

(四)配置 tomcatserver.xml 文件 腾讯提供的证书包中，有 3 个文件需要在本次配置中使用 ***.crt 服务器端证书,下面配置案例中重命名为：server.crt ***.key 服务器端证书私钥,下面配置案例中重命名为：server.key ca.crt 受信任根证书，用来校验客户端(腾讯侧)证书的合法性
<Connector
protocol="org.apache.coyote.http11.Http11AprProtocol" port="443" maxThreads="200" scheme="https"secure="true" SSLEnabled="true" SSLCertificateFile="/data/tomcat/crt/server.crt" SSLCertificateKeyFile="/data/tomcat/crt/server.key" SSLVerifyClient="require" SSLCACertificateFile="/data/tomcat/crt/ca.crt" />
注意：

� 第三方的腾讯的发货回调监听端口只能是 443

� 出于安全考虑，请关闭 Tomcat 的 HTTP8080 或者 HTTP80 端口

(五)配置 Tomcat环境变量 往/data/tomcat/bin/setenv.sh 中添加两个环境变量：

cat>/data/tomcat/bin/setenv.sh<<EOF exportJAVA_HOME=/data/java exportLD_LIBRARY_PATH=/data/tomcat/linux_libs/lib EOF

完成后记得重启 Tomcat！