? ? ? ? 最近項目組要完成一個新Web Servicer接口的開發，其中有項要求是支持外部客戶程序以https方式訪問這些SOAP接口。項目組當前基于tomcat6.0.29開發，axis版本為1.4。拿到這個需求時不明所以，后來發現網上的資料非常多，但據觀察，基本步驟和apache官網的上操作步驟基本一致，少有特別之處。于是參照資料，這個特性順利完成。客戶拿到之后非常滿意，但看到tomcat配置文件中證書的密碼以明文保存時，客戶不滿意了，要求修改為密文。

? ? ? ? 根據官網的資料以及實地驗證，tomcat的Connector配置默認只支持明文。但客戶就是上帝，客戶的要求即是圣旨。

? ? ? ? 于是新一輪的資料檢索開始了，但讓人非常失望的是網上資料大多都是在講如何基于tomcat配置https的單向認證或者雙向認證，證書密碼加密存儲相關的資料卻怎么也找不到。客戶那邊又催的特別緊，沒有辦法，只好硬著頭皮啃tomcat的源碼，配合eclipse的遠程調試功能，終于摸索出了辦法。下面的文字tomcat版本為6.0.29，其它版本的處理方法應當近似，同時假定基于tomcat的https認證已經配置好，tomcat可以正常啟動。

? ? ? ? 修改前的Connector配置，可以看到證書的口令配置成了明文，這樣安全性是沒有保證的。

?

        <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               keystoreFile="./conf/keystore" keystorePass="jackie.123"

               clientAuth="false" sslProtocol="TLS" />


  

? ? ? ? 解決問題的步驟如下：

?

步驟一、創建一個協議處理類，替換掉當前的org.apache.coyote.http11.Http11Protocol。代碼非常簡單，樣例如下：

?

    package demo;



import org.apache.coyote.http11.Http11Protocol;



public class MyHttp11Protocol extends Http11Protocol {

    @Override

    public void init() throws Exception {

        final String password = getKeypass();

        final String realpassword = decipher(password);

        setAttribute("keypass", realpassword);

        super.init();

    }



    private String decipher(final String password) {

        // 這里執行密碼的解碼操作;

    }

}
  

? ? ? ? 注意點是這個類里如果需要記日志，可以直接使用父類定義的log對象，但有一點，明文口令不要記錄到日志里，否則失去了加密存儲的意義。
步驟二、修改Connector的配置，使用定制后的協議處理器，同時把證書的密碼修改為密文，樣例如下：

?

?

        <Connector port="8443" protocol="demo.MyHttp11Protocol" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               keystoreFile="./conf/keystore" keystorePass="ADFADLJYNGHYVM=="

               clientAuth="false" sslProtocol="TLS" />


  

步驟三、重新啟動tomcat，檢查上述配置是否生效。

?

? ? ? ? Anyway，經過上述處理，我本地的配置是成功的。

?

tomcat安全配置之證書密碼加密存儲