JDK自带工具keytool生成ssl证书(web服务https配置)

最新推荐文章于 2024-04-23 09:32:33 发布
最新推荐文章于 2024-04-23 09:32:33 发布
阅读量1w 收藏 24
点赞数 4
分类专栏: 创业 java web 文章标签: jdk ssl web服务 keytool https
创业 同时被 2 个专栏收录
154 篇文章 5 订阅
订阅专栏
java web
105 篇文章 1 订阅
订阅专栏

https://www.cnblogs.com/zhangzb/p/5200418.html

前言:

因为公司项目客户要求使用HTTPS的方式来保证数据的安全,所以木有办法研究了下怎么生成ssl证书来使用https以保证数据安全。

百度了不少资料,看到JAVA的JDK自带生成SSL证书的工具:keytool,外加看了同事的心得体会,自己总结了一下具体的使用方法和使用过程中发现的问题及解决办法。

 

1:什么是HTTPS?

HTTPS其实是有两部分组成:HTTP + SSL / TLS,

也就是在HTTP上又加了一层处理加密信息的模块,并且会进行身份的验证。

问题:

Firebug和postman之类的浏览器调试工具,为什么获取到的是明文?

解答:

SSL是对传输的数据进行加密,针对的是传输过程的安全。 

firebug之类的浏览器调试工具,

因为他们得到的是客户端加密之前/解密之后的数据,因此是明文的。

2:什么是自签名证书?

就是自己生成的证书,并不是官方生成的证书。

除非是很正式的项目,否则使用自己签发的证书即可,因为官方生成证书是要花钱滴。

 

3:进入正题,使用JDK自带工具KeyTool 生成自签发证书!

第一步:为服务器生成证书

打开CMD命令行工具,cd到C盘根目录或者是jdk的bin目录下,如下图所示:

使用keytool命令生成证书:

keytool 

-genkey 

-alias tomcat(别名) 

-keypass 123456(别名密码) 

-keyalg RSA(算法) 

-keysize 1024(密钥长度) 

-validity 365(有效期,天单位) 

-keystore D:/keys/tomcat.keystore(指定生成证书的位置和证书名称) 

-storepass 123456(获取keystore信息的密码)

 

方便复制版:

keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456

图例:

 

回车执行后如下图:

 

点击回车即可在D:/keys/文件夹内生成名为:tomcat.keystore的文件。

成功后无提示信息

注意:

①D:/keys/ 目录需要提前手动创建好,否则会生成失败

②提示输入域名的时候不能输入IP地址

 

问题①的错误信息如下:

 

 

 

第二步:为客户端生成证书

为浏览器生成证书,以便让服务器来验证它。

为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,

因此,使用如下命令生成:

keytool 

-genkey 

-alias client 

-keypass 123456

-keyalg RSA 

-storetype PKCS12 

-keypass 123456 

-storepass 123456 

-keystore D:/keys/client.p12

 

方便复制版:

keytool -genkey -alias client1 -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client1.p12 -storepass 123456

图例:

 

第二步余下操作步骤同第一步。

 

第三步:让服务器信任客户端证书

1、

由于不能直接将PKCS12格式的证书库导入,

必须先把客户端证书导出为一个单独的CER文件,使用如下命令:

keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer

注意:

Keypass:指定CER文件的密码,但会被忽略,而要求重新输入

2、

将该文件导入到服务器的证书库,添加为一个信任证书:

keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor

e -storepass 123456

图例:

 

完成之后通过list命令查看服务器的证书库,

可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:

keytool -list -v -keystore D:/keys/tomcat.keystore

 

第四步:让客户端信任服务器证书

1、

由于是双向SSL认证,客户端也要验证服务器证书,

因此,必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。

由于不能直接将keystore格式的证书库导入,

必须先把服务器证书导出为一个单独的CER文件,使用如下命令:

keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat6 -file D:/keys/server.cer

2、

双击server.cer文件,按照提示安装证书,

将证书填入到“受信任的根证书颁发机构”。

填入方法:

打开浏览器   - 工具  -  internet选项-内容- 证书-把中级证书颁发机构里的www.localhost.com(该名称即时你前面生成证书时填写的名字与姓氏)证书导出来-再把导出来的证书导入  受信任的根颁发机构  就OK了。

 

第五步:配置Tomcat服务器

<Connector  port="8443"

protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"

maxThreads="150"

scheme="https"

secure="true"

clientAuth="true"

sslProtocol="TLS"

keystoreFile="D:/keys/tomcat.keystore"

keystorePass="123456"

truststoreFile="D:/keys/tomcat.keystore"

truststorePass="123456" />

 

属性说明:

clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证

keystoreFile:服务器证书文件路径

keystorePass:服务器证书密码

truststoreFile:用来验证客户端证书的根证书,此例中就是服务器证书

truststorePass:根证书密码

 

注意:

① 设置clientAuth属性为True时,需要手动导入客户端证书才能访问。

② 要访问https请求 需要访问8443端口,访问http请求则访问Tomcat默认端口(你自己设置的端口,默认8080)即可。

 

 

总结:

经过以上五步,你使用HTTPS 端口为8443 进行访问的时候 就是经过SSL信息加密,不怕被截获了。

通话的双方,必须是都拥有证书的端,才能进行会话,换句话说,就是只有安装了咱证书的客户端,才能与服务器通信。

 

小贴士:

强制 https 访问

在 tomcat /conf/web.xml 中的 </welcome- file-list> 后面加上这

  1. <login-config>    
  2. <!-- Authorization setting for SSL -->    
  3. <auth-method>CLIENT-CERT</auth-method>    
  4. <realm-name>Client Cert Users-only Area</realm-name>    
  5. </login-config>    
  6. <security-constraint>    
  7. <!-- Authorization setting for SSL -->    
  8. <web-resource-collection >    
  9. <web-resource-name >SSL</web-resource-name>    
  10. <url-pattern>/*</url-pattern>    
  11. </web-resource-collection>    
  12. <user-data-constraint>    
  13. <transport-guarantee>CONFIDENTIAL</transport-guarantee>    
  14. </user-data-constraint>    
  15. </security-constraint> 

 

完成以上步骤后,在浏览器中输入http的访问地址也会自动转换为https了。

 

 

 

 

 

 

 

 

 

 

 

 

 

附录1:

keytool常用命令 

-alias       产生别名 

-keystore    指定密钥库的名称(就像数据库一样的证书库,可以有很多个证书,cacerts这个文件是jre自带的, 

             你也可以使用其它文件名字,如果没有这个文件名字,它会创建这样一个) 

-storepass   指定密钥库的密码 

-keypass     指定别名条目的密码 

-list        显示密钥库中的证书信息 

-v           显示密钥库中的证书详细信息 

-export      将别名指定的证书导出到文件 

-file        参数指定导出到文件的文件名 

-delete      删除密钥库中某条目 

-import      将已签名数字证书导入密钥库 

-keypasswd   修改密钥库中指定条目口令 

-dname       指定证书拥有者信息 

-keyalg      指定密钥的算法 

-validity    指定创建的证书有效期多少天 

-keysize     指定密钥长度 

 

使用说明: 

导入一个证书命令可以如下: 

keytool -import -keystore cacerts -storepass 666666 -keypass 888888 -alias alibabacert -file C:\alibabajava\cert\test_root.cer 

其中-keystore cacerts中的cacerts是jre中默认的证书库名字,也可以使用其它名字 

-storepass 666666中的666666是这个证书库的密码 

-keypass 888888中的888888是这个特定证书的密码 

-alias alibabacert中的alibabacert是你导入证书的别名,在其它操作命令中就可以使用它 

-file C:\alibabajava\cert\test_root.cer中的文件路径就是要导入证书的路径 

 

浏览证书库里面的证书信息,可以使用如下命令: 

keytool -list -v -alias alibabacert -keystore cacerts -storepass 666666 

 

要删除证书库里面的某个证书,可以使用如下命令: 

keytool -delete -alias alibabacert -keystore cacerts -storepass 666666 

 

要导出证书库里面的某个证书,可以使用如下命令: 

keytool -export -keystore cacerts -storepass 666666 -alias alibabacert -file F:\alibabacert_root.cer 

 

要修改某个证书的密码(注意:有些数字认证没有私有密码,只有公匙,这种情况此命令无效) 

这个是交互式的,在输入命令后,会要求你输入密码 

keytool -keypasswd -alias alibabacert -keystore cacerts 

这个不是交互式的,输入命令后直接更改 

Keytool -keypasswd -alias alibabacert -keypass 888888 -new 123456 -storepass 666666 -keystore cacerts


ArthurKingYs
关注
  • 4
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDK生成ssl证书
11-29
JDK自带工具生成ssl证书,经过上述操作,使用HTTPS 端口为8443 进行访问的时候 就是经过SSL信息加密,不怕被截获了。 通话的双方,必须是都拥有证书的端,才能进行会话,换句话说,就是只有安装了咱证书的客户端,...
Debain8 Tomcat8 JDK8 实现SSL双向验证
刘岗强的专栏
01-13 1202
先说说环境: 系统:Debain8、Tomcat8、JDK8 实现目标:使用JDK自带keytool实现SSL双向加密 1.为服务器生成证书  keytool -genkey -v -alias tomcat -keyalg RSA -keystore /home/tomcat/conf/ssl/tomcat.keystore -validity 36500 /ho
java生成本地https证书
weixin_43854851的博客
03-18 552
keytool -importkeystore -srcstoretype JKS -srckeystore httpsKey.keystore -srcstorepass 密码 -srcalias tomcathttps -srckeypass 密码 -deststoretype PKCS12 -destkeystore httpsKey.p12 -deststorepass 密码 -destalias client -destkeypass 密码 -noprompt。3、通过p12导出key文件。
keytool 错误: java.io.FileNotFoundException: cacerts (拒绝访问。)
本海的窝
09-29 9860
文章目录项目场景问题描述原因分析解决方案参考文档 项目场景 我想要将阿里云的maven中央仓库证书导入到 JRE security 中。 问题描述 C:\Program Files\Java\jdk1.8.0_241\jre\lib\security>keytool -import -alias aliyun-maven -keystore cacerts -file E:\entSoftware\aliyun-maven.cer 输入密钥库口令: …………一堆证书内容信息 是否信任此证书? [
jdk更换ssl证书jssecacerts
1853
08-13 3315
jdk更换ssl证书jssecacerts 背景 项目通过统一身份认证入口进出,项目为http协议,但cas端为https。 但突然登录报错,不知原因?报错内容如下: 集成cas报错javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderExceptio
证书证书管理(keytool工具实例)
u012719556的专栏
02-26 2548
一: 什么是证书?为什么要使用证书?   对数据进行签名(加密)是我们在网络中最常见的安全操作。签名有双重作用,作用一就是保证数据的完整性,证明数据并非伪造,而且在传输的过程中没有被篡改,作用二就是防止数据的发布者否认其发布了该数据。   签名同时使用了非对称性加密算法和消息摘要算法,对一块数据签名时,会先对这块数据进行消息摘要运算生成一个摘要,然后对该摘要使用发布者的私钥进行加密。比如微信公众平台开发中最常见的调用api接口方法是将参数进行字典序排序,然后将参数名和参数值接成一个字符串,组合的字符串.
使用JDK自带工具keytool生成ssl证书
热门推荐
seeker的博客
05-17 6万+
使用JDK自带工具keytool生成ssl证书 HTTPS简介 超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种网络安全传输协议。具体介绍以前先来介绍一下以前常见的HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协...
keytool命令
weixin_53069745的博客
04-05 1090
同时,生成证书应由受信任的证书颁发机构(CA)签发,以确保在客户端的信任。Java keytool 工具的命令,用于生成密钥对,并为生成的密钥对指定一个别名(alias)。生成密钥对时,还可以使用其他选项来指定密钥对的属性,如密钥算法、密钥长度、有效期、密码等。: 指定密钥的密码,用于保护生成的密钥对,默认与密钥库的密码相同。: 是指定生成的密钥对的别名,用于标识该密钥对的名称。: 指定密钥库的密码,用于保护生成的密钥库,默认为空。: 是生成密钥对的选项,用于生成一个新的密钥对。
网络安全--Java代码生成自颁发 cer证书、base64 cer证书文件
JustinQin
11-12 2万+
目录 一、说明 二、实现代码 三、结果分析 一、说明 最近在做一个项目,涉及到数字证书这一块的内容,其中有一个需求是,根据前端维护上送参数, 后台Java实现生成cer自签名证书证书要求跟openssl命令生成的一样 ,我的java环境是JDK1.8。 网络--keytool CA签名SSL证书(收费)网络--keytool自签名SSL证书(免费)以及私钥签名、公钥验签 二、实现代...
关于解决https JDK导入安全证书方面的踩的坑
风丨恨的博客
04-27 1万+
目前在研究cas sso相关的搭建知识。开始便是关于HTTPS安全证书的一些问题,简单说一下本文的目的:安全证书生成jdk导入安全证书。先说自己定义的域名编辑文件 C:\Windows\System32\drivers\etc\hosts 在文件末端添加下面的信息:1:win+R 快捷键打开DOS命令窗口2:输入以下命令,生成证书keytool -genkey -alias ssodemo -...
keytool创建SSL证书
02-14
测试环境为JDK1.8,环境变量需要配置JAVA_HOME或手动修改脚本里的地址; 脚本代码基于:https://blog.csdn.net/nov4th/article/details/122845297
jdk中密钥和证书管理工具keytool常用命令详解
09-04
keytool JAVA是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务
Java 生成证书工具https
04-10
java生成https安全证书,解决httpClient访问https出错 编译:javac InstallCert.java 运行:java InstallCert 要访问的网址 结果:Enter certificate to add to trusted keystore or 'q' to quit: [1] 输入1确认生成...
JDK  keytool证书工具功能代码解析
08-19
主要介绍了JDK keytool证书工具功能代码解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
openssl3.2 - exp - 用base64后的字符串作为配置项的值
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
04-16 1018
今天解析自己封装的内存型的openssl 配置数据,发现openssl并不支持配置项的值为base64之后的直接字符串。
死磕GMSSL通信-java/Netty系列(二)
qq_36577699的博客
04-16 1222
Netty-tcnative再linux编译比较好编译,但是再window编译,我尝试了各种办法,总是编译失败,所以我采用半自动的方式进行编译,Netty-tcnative会生成临时文件,直接用vs打开,设置openssl的头文件和静态库路径,然后生成静态库,静态库改个名字放到jar包里边,其实自动编译也是这个原理哈哈O(∩_∩)O。直接传输五个证书的路径吗,之前有的是说要转成x509之类的,转来转去的有点麻烦,这个是直接传输证书路径,由底层gmssl去解析,格式必须是pem格式。然而,若项目已依赖于。
2. TLS/SSL的工作原理
2402_83160520的博客
04-18 320
全称(Transport Layer Security), 是介于TCP和HTTP之间的一层安全协议,不影响原有的TCP协议和HTTP协议,所以使用HTTPS基本上不需要对HTTP页面进行太多的改造。。
浏览器工作原理与实践--HTTPS:浏览器如何验证数字证书
最新发布
echohuangshihuxue的博客
04-23 591
好了,今天的内容就介绍到这里,下面我们总结下本文的主要内容:我们先回顾了数字证书的申请流程,接着我们重点介绍了浏览器是如何验证数字证书的。首先浏览器需要CA的数字证书才能验证极客时间的数字证书,接下来我们需要验证CA证书的合法性,最简单的方法是将CA证书内置在操作系统中。
JDK自带工具keytool生成ssl证书具体操作
05-05
可以按照以下步骤使用 keytool 工具生成自签名的 SSL 证书: 1. 打开命令行窗口,并导航到 JDK 的 bin 目录下。 2. 输入以下命令以生成 SSL 证书: ```bash keytool -genkey -alias mydomain -keyalg RSA -keystore keystore.jks -keysize 2048 ``` 其中,`mydomain` 是证书别名,`keystore.jks` 是证书库的名称。 3. 在运行上述命令后,会提示输入一些信息,如下所示: ```bash What is your first and last name? [Unknown]: example.com What is the name of your organizational unit? [Unknown]: IT What is the name of your organization? [Unknown]: Example Corp What is the name of your City or Locality? [Unknown]: Anytown What is the name of your State or Province? [Unknown]: CA What is the two-letter country code for this unit? [Unknown]: US Is CN=example.com, OU=IT, O=Example Corp, L=Anytown, ST=CA, C=US correct? [no]: yes Enter key password for <mydomain> (RETURN if same as keystore password): ``` 按照提示输入相关信息,其中 `CN`(Common Name)应该与您的域名相匹配。 4. 然后,系统会提示输入密钥库密码和密钥密码。这两个密码应该是不同的。如果您希望两个密码相同,可以按回车键跳过第二个密码的设置。 5. 生成证书后,可以使用以下命令查看证书的详细信息: ```bash keytool -list -v -keystore keystore.jks ``` 这将输出证书的详细信息,包括证书别名、证书类型、证书序列号、颁发者、有效期等。 6. 最后,将生成证书用于您的应用程序中。 注意:在生产环境中,应该使用受信任的第三方机构颁发的证书。这些证书可以通过购买或免费获取。自签名的证书仅适用于开发和测试环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值