? ? ? ? 最近項(xiàng)目組要完成一個(gè)新Web Servicer接口的開發(fā)，其中有項(xiàng)要求是支持外部客戶程序以https方式訪問這些SOAP接口。項(xiàng)目組當(dāng)前基于tomcat6.0.29開發(fā)，axis版本為1.4。拿到這個(gè)需求時(shí)不明所以，后來發(fā)現(xiàn)網(wǎng)上的資料非常多，但據(jù)觀察，基本步驟和apache官網(wǎng)的上操作步驟基本一致，少有特別之處。于是參照資料，這個(gè)特性順利完成。客戶拿到之后非常滿意，但看到tomcat配置文件中證書的密碼以明文保存時(shí)，客戶不滿意了，要求修改為密文。

? ? ? ? 根據(jù)官網(wǎng)的資料以及實(shí)地驗(yàn)證，tomcat的Connector配置默認(rèn)只支持明文。但客戶就是上帝，客戶的要求即是圣旨。

? ? ? ? 于是新一輪的資料檢索開始了，但讓人非常失望的是網(wǎng)上資料大多都是在講如何基于tomcat配置https的單向認(rèn)證或者雙向認(rèn)證，證書密碼加密存儲(chǔ)相關(guān)的資料卻怎么也找不到?？蛻裟沁呌执叩奶貏e緊，沒有辦法，只好硬著頭皮啃tomcat的源碼，配合eclipse的遠(yuǎn)程調(diào)試功能，終于摸索出了辦法。下面的文字tomcat版本為6.0.29，其它版本的處理方法應(yīng)當(dāng)近似，同時(shí)假定基于tomcat的https認(rèn)證已經(jīng)配置好，tomcat可以正常啟動(dòng)。

? ? ? ? 修改前的Connector配置，可以看到證書的口令配置成了明文，這樣安全性是沒有保證的。

?

        <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               keystoreFile="./conf/keystore" keystorePass="jackie.123"

               clientAuth="false" sslProtocol="TLS" />


  

? ? ? ? 解決問題的步驟如下：

?

步驟一、創(chuàng)建一個(gè)協(xié)議處理類，替換掉當(dāng)前的org.apache.coyote.http11.Http11Protocol。代碼非常簡單，樣例如下：

?

    package demo;



import org.apache.coyote.http11.Http11Protocol;



public class MyHttp11Protocol extends Http11Protocol {

    @Override

    public void init() throws Exception {

        final String password = getKeypass();

        final String realpassword = decipher(password);

        setAttribute("keypass", realpassword);

        super.init();

    }



    private String decipher(final String password) {

        // 這里執(zhí)行密碼的解碼操作;

    }

}
  

? ? ? ? 注意點(diǎn)是這個(gè)類里如果需要記日志，可以直接使用父類定義的log對象，但有一點(diǎn)，明文口令不要記錄到日志里，否則失去了加密存儲(chǔ)的意義。
步驟二、修改Connector的配置，使用定制后的協(xié)議處理器，同時(shí)把證書的密碼修改為密文，樣例如下：

?

?

        <Connector port="8443" protocol="demo.MyHttp11Protocol" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               keystoreFile="./conf/keystore" keystorePass="ADFADLJYNGHYVM=="

               clientAuth="false" sslProtocol="TLS" />


  

步驟三、重新啟動(dòng)tomcat，檢查上述配置是否生效。

?

? ? ? ? Anyway，經(jīng)過上述處理，我本地的配置是成功的。

?

tomcat安全配置之證書密碼加密存儲(chǔ)