keytool配置tomcat的https

最新推荐文章于 2024-03-13 23:19:01 发布
最新推荐文章于 2024-03-13 23:19:01 发布
阅读量4.8k 收藏 3
点赞数
分类专栏: security auth
Keytool配置Tomcat的HTTPS


目录
1 KEYTOOL 1
1.1 什么是HTTPS 1
1.2 JAVA自带工具KEYTOOL 1
1.3 JDK中KEYTOOL常用命令 1
1.4 KEYTOOL的基本操作 2
2 KEYTOOL的应用 3
2.1 KEYTOOL生成证书 3
2.2 配置TOMCAT 4



1 Keytool
1.1 什么是HTTPS
HTTPS(Secure Hypertext Transfer Protocol)全超文本传输协议,它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。。  https是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,https的安全基础是SSL,因此加密的详细内容请看SSL。
1.2 Java自带工具keytool
Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥(key)和证书(certificates)存在一个称为keystore的文件中 在keystore里,包含两种数据:
    密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)
    可信任的证书实体(trusted certificate entries)——只包含公钥
    ailas(别名)每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写

1.3 JDK中keytool常用命令
Java代码   收藏代码
  1. -genkey      在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书  
  2. (在没有指定生成位置的情况下,keystore会存在用户系统默认目录,如:对于window xp系统,会生成在系统的C:\Documents and Settings\UserName\文件名为“.keystore”  
  3. )  
  4. -alias            产生别名  
  5. -keystore      指定密钥库的名称(产生的各类信息将不在.keystore文件中)  
  6. -keyalg         指定密钥的算法 (如 RSA  DSA(如果不指定默认采用DSA))  
  7. -validity        指定创建的证书有效期多少天  
  8. -keysize       指定密钥长度  
  9. -storepass    指定密钥库的密码(获取keystore信息所需的密码)  
  10. -keypass      指定别名条目的密码(私钥的密码)  
  11. -dname        指定证书拥有者信息 例如:  "CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码"  
  12. -list              显示密钥库中的证书信息      keytool -list -v -keystore 指定keystore -storepass 密码  
  13. -v                显示密钥库中的证书详细信息  
  14. -export        将别名指定的证书导出到文件  keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密  
  15.                    码  
  16. -file             参数指定导出到文件的文件名  
  17. -delete         删除密钥库中某条目          keytool -delete -alias 指定需删除的别  -keystore 指定keystore  -storepass 密码  
  18. -printcert      查看导出的证书信息          keytool -printcert -file yushan.crt  
  19. -keypasswd   修改密钥库中指定条目口令    keytool -keypasswd -alias 需修改的别名 -keypass 旧密码 -new  新密码  -storepass keystore密码  -keystore sage  
  20. -storepasswd 修改keystore口令      keytool -storepasswd -keystore e:\yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)  
  21. -import      将已签名数字证书导入密钥库  keytool -import -alias 指定导入条目的别名 -keystore 指定keystore -file 需导入的证书  


1.4 Keytool的基本操作
1、生成keystore
    keytool -genkey -alias 4sonline(别名) -keypass 4sonline(别名密码) -keyalg RSA(算法) -keysize 1024(密钥长度) -validity 365(有效期,天单位) -keystore  e:\4sonline.keystore(指定生成证书的位置和证书名称) -storepass 4sonline(获取keystore信息的密码)  -dname "CN=4sonline.com.cn, OU=192.168.0.86, O=192.168.0.86, L=SH, ST=SH, C=CN"  (CN最好为服务的域名,否则配置web service 或hessian 访问https时会有麻烦,CN=(名字与姓氏), OU=(组织单位名称), O=(组织名称), L=(城市或区域名称), ST=(州或省份名称), C=(单位的两字母国家代码))
    2、keystore信息查看
        keytool -list  -v -keystore e:\4sonline.keystore -storepass 4sonline
        (缺省情况下,-list 命令打印证书的 MD5 指纹。而如果指定了 -v 选项,将以可读格式打印证书,如果指定了 -rfc 选项,将以可打印的编码格式输出证书。)
    3、导出证书
        keytool -export -alias 4sonline -keystore e:\4sonline.keystore -file e:\4sonline.cer(指定导出的证书位置及证书名称) -storepass 4sonline
    4、查看导出的证书
        keytool -printcert -file 4sonline.cer
    5、删除证书条目
        keytool -delete -alias 4sonline(指定需删除的别名) -keystore 4sonline.keystore -storepass 4sonline
    6、证书条目密码修改
        keytool -keypasswd -alias 4sonline(需要修改密码的别名) -keypass 4sonline(原始密码) -new 123456(别名的新密码)  -keystore e:\4sonline.keystore -storepass 4sonline
    7、keystore密码修改
        keytool -storepasswd -keystore e:\4sonline.keystore(需修改口令的keystore) -storepass 4sonline(原始密码) -new 123456(新密码)
    8、 keystore别人信息修改

        keytool -selfcert -alias 4sonline -keypass 4sonline -keystore e:\4sonline.keystore -storepass 4sonline -dname "cn=4sonline,ou=4sonline,o=4sonline,c=us"

    9、附加 查看证书详情内容

        keytool -list -v -keystore -list -v -keystore E:/ssl/server.keystore -storepass zxyzxy 

下面出自:http://www.blogjava.net/icewee/archive/2012/06/04/379947.html

一、生成密钥库和证书
可参考以下密钥生成脚本,根据实际情况做必要的修改,其中需要注意的是:服务端的密钥库参数“CN”必须与服务端的IP地址相同,否则会报错,客户端的任意。
key.script
1 、生成服务器证书库

keytool - validity 365 - genkey - v - alias server - keyalg RSA - keystore E :\ ssl \ server . keystore - dname " CN=127.0.0.1,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn " - storepass 123456 - keypass 123456


2 、生成客户端证书库

keytool - validity 365 - genkeypair - v - alias client - keyalg RSA - storetype PKCS12 - keystore E :\ ssl \ client . p12 - dname " CN=client,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn " - storepass 123456 - keypass 123456


3 、从客户端证书库中导出客户端证书

keytool - export - v - alias client - keystore E :\ ssl \ client . p12 - storetype PKCS12 - storepass 123456 - rfc - file E :\ ssl \ client . cer


 4 、从服务器证书库中导出服务器证书

keytool - export - v - alias server - keystore E :\ ssl \ server . keystore - storepass 123456 - rfc - file E :\ ssl \ server . cer


 5 、生成客户端信任证书库(由服务端证书生成的证书库)

keytool - import - v - alias server - file E :\ ssl \ server . cer - keystore E :\ ssl \ client . truststore - storepass 123456


6 、将客户端证书导入到服务器证书库(使得服务器信任客户端证书)

keytool - import - v - alias client - file E :\ ssl \ client . cer - keystore E :\ ssl \ server . keystore - storepass 123456


7 、查看证书库中的全部证书

keytool - list - keystore E :\ ssl \ server . keystore - storepass 123456


二、Tomat配置
使用文本编辑器编辑${catalina.base}/conf/server.xml
找到Connector port="8443"的标签,取消注释,并修改成如下:
< Connector port ="8443" protocol ="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled ="true"
               maxThreads ="150" scheme ="https" secure ="true"
               clientAuth ="true" sslProtocol ="TLS"
               keystoreFile ="${catalina.base}/key/server.keystore" keystorePass ="123456"
               truststoreFile ="${catalina.base}/key/server.keystore" truststorePass ="123456" />
                  # truststoreFile、keystoreFile为已经生成的服务器证书的地址 
                  # truststorePasskeystorePass为自定义的服务器证书的密码

备注:
keystoreFile:指定服务器密钥库,可以配置成绝对路径,如“D:/key/server.keystore”,本例中是在Tomcat目录中创建了一个名称为key的文件夹,仅供参考。
keystorePass:密钥库生成时的密码
truststoreFile:受信任密钥库,和密钥库相同即可

truststorePass:受信任密钥库密码

package com.icesoft.servlet;

import java.io.IOException;
import java.io.PrintWriter;
import java.security.cert.X509Certificate;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
* <p>
* SSL Servlet
* </p>
*
* @author IceWee
* @date 2012-6-4
* @version 1.0
*/
public class SSLServlet extends HttpServlet {

    private static final long serialVersionUID = 1601507150278487538L;
    private static final String ATTR_CER = "javax.servlet.request.X509Certificate";
    private static final String CONTENT_TYPE = "text/plain;charset=UTF-8";
    private static final String DEFAULT_ENCODING = "UTF-8";
    private static final String SCHEME_HTTPS = "https";

    public void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        response.setContentType(CONTENT_TYPE);
        response.setCharacterEncoding(DEFAULT_ENCODING);
        PrintWriter out = response.getWriter();
        X509Certificate[] certs = (X509Certificate[]) request.getAttribute(ATTR_CER);
        if (certs != null) {
            int count = certs.length;
            out.println("共检测到[" + count + "]个客户端证书");
            for (int i = 0; i < count; i++) {
                out.println("客户端证书 [" + (++i) + "]: ");
                out.println("校验结果:" + verifyCertificate(certs[--i]));
                out.println("证书详细:\r" + certs[i].toString());
            }
        } else {
            if (SCHEME_HTTPS.equalsIgnoreCase(request.getScheme())) {
                out.println("这是一个HTTPS请求,但是没有可用的客户端证书");
            } else {
                out.println("这不是一个HTTPS请求,因此无法获得客户端证书列表 ");
            }
        }
        out.close();
    }

    public void doPost(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        doGet(request, response);
    }
   
    /**
     * <p>
     * 校验证书是否过期
     * </p>
     *
     * @param certificate
     * @return
     */
    private boolean verifyCertificate(X509Certificate certificate) {
        boolean valid = true;
        try {
            certificate.checkValidity();
        } catch (Exception e) {
            e.printStackTrace();
            valid = false;
        }
        return valid;
    }

}
……略

TomZXY
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcat配置https
06-11
tomcat7+jdk的keytool生成证书 配置https
tomcat配置https证书
02-06
tomcat配置https证书操作步骤,小程序及公众号程序开发需求https服务。
Linux下tomcat配置https
youarenowhere的博客
04-24 2012
这里写自定义目录标题【1】服务器开启443端口【2】域名管理网站申请CA证书【3】tomcat配置3.1 解压已下载保存到本地的Tomcat证书文件。3.2 在Tomcat安装目录下新建cert目录,将解压的证书和密码文件拷贝到cert目录下。3.3. 文件路径:Tomcat安装目录/conf/server.xml3.3.1 去掉以下内容注释3.3.2 参照以下内容修改【1】服务器开启443端口...
使用证书提供方给的证书(server.crt)及密钥文件(server.key)配置Tomcat的 ssl 证书
langzichanglu的专栏
03-26 4191
1. 将证书提供方给的证书(server.crt)及密钥文件(server.key)上传到服务器 tomcat 的 conf 目录 2. 在tomcat conf 目录下执行如下命令 (1) 生成P12证书(需要设置密码) # openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name serv...
tomcat9使用crt格式证书配置HTTPS
懒人日记-不喜欢写文章
03-29 6399
tomcat配置https,可以使用jks证书文件,也可以使用pem(crt,key)文件。该部分内容是指导使用crt+key文件配置https
【linux】tomcat配置SSL证书
ranmaxli的博客
11-21 1415
1、下载ssl证书 2、Tomcat配置 2.1、启动SSL: 1.将pfx或者jks证书放到tomcat下的conf目录(推荐) 2.配置server.xml文件 这里说一下,服务器中的端口是80而非8080,是443而非8443. 下面为pfx配置 <Connector port="90" protocol="HTTP/1.1" connec...
tomcat 配置ssl证书
小刘的博客
04-14 493
1、再服务器某个目录下创建一个文件夹 如:ssl ,把ssl证书放到该文件夹下。2. 找到tomcat服务器下conf文件夹下server.xml。-- http转https相关配置 -->keystorePass="密码"3、重新启动tomcat服务就可以了。http转https相关配置
linux tomcat 配置https(SSL)
热门推荐
sTilL_Q's blog
09-06 1万+
1.进入到linux目录下 /usr/local/tomcat7/conf/ 2.生成证书 keytool -genkey -alias tomcat -keyalg RSA -keystore /usr/local/tomcat7/conf/.keystorecat conf/.keystore keytool -genkey:自动使用默认的算法生成公钥和私钥 -
在Linux系统下的Tomcat 10安装SSL证书
花园宝宝没有天线的博客
03-13 362
在Linux系统下的Tomcat 10安装SSL证书
tomcat启用https
10-23
tomcat开发环境配置启用https 使用jdk自带的keytool工具制作证书
Tomcat配置https单向加密
01-11
说明tomcat如何配置https单向加密,如何使用jdk提供的keytool建立服务器证书
keytool+tomcat配置HTTPS双向证书认证
04-24
资源中包含了关于如何使用keytool生成证书,如何在tomcat配置,并且在java web中如何配置
tomcat配置https的方法示例
01-10
一、创建生产密钥和证书 Tomcat 目前只能操作 JKS、...%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA JAVA_HOME是已经配置好的Java环境变量 该命令将在用户的主目录下创建一个新文件:.keystore,如果
Rain Water Algorithm雨水优化算法附matlab代码.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
基于springboot+vue的房屋租赁出售系统
04-26
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
杭电-[数据结构(c语言版)]复习题纲杭州电子科技大学.pdf
04-26
杭州电子科技大学,期末考试资料,计算机专业期末考试试卷,试卷及答案,数据结构。
年医院医生个人工作总结.docx
04-26
工作总结,新年计划,岗位总结,工作汇报,个人总结,述职报告,范文下载,新年总结,新建计划。
阿里巴巴笔试题目.docx
04-26
校园招聘笔试题目及答案
顺从宗族联动机器人matlab代码.zip
最新发布
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
idea H5 tomcat https配置
08-31
2. 配置Tomcat服务器:打开Tomcat的`server.xml`配置文件,找到以下部分: ```xml connectionTimeout="20000" redirectPort="8443" /> ``` 在该部分下方添加以下配置: ```xml maxThreads="150" scheme=...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值