使用Tomcat 9验证Https单向认证和双向认证

最新推荐文章于 2024-05-29 13:34:49 发布
最新推荐文章于 2024-05-29 13:34:49 发布
阅读量4.4k 收藏 6
点赞数 1
分类专栏: Https 文章标签: Https单向认证 Https双向认证 Tomcat 9 Tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ONS_cukuyo/article/details/79172148
版权

一、生成根证书颁发机构的密钥库

keytool -genkeypair -v -keystore root.p12 -storetype pkcs12 -storepass 123456 -alias 我是根证书 -keyalg RSA -keysize 2048 -validity 36500


二、生成服务器密钥库

keytool -genkeypair -v -keystore server.p12 -storetype pkcs12 -storepass 123456 -alias key -keyalg RSA -keysize 2048 -validity 36500


三、使用服务端密钥库生成证书请求

keytool -certreq -keystore server.p12 -storepass 123456 -alias key -file server.csr

四、使用CA密钥库认证此证书,并导出认证后的新证书

keytool -gencert -v -infile server.csr -outfile server.cer -keystore root.p12 -storepass 123456 -alias 我是根证书

五、将认证后的证书重新导入服务端密钥库

进行这一步前,需要将CA根证书导入服务器密钥库信任列表

1. CA密钥库导出CA根证书:

keytool -exportcert -file root.cer -keystore root.p12 -storepass 123456 -alias 我是根证书

如果不导入则会报:keytool 错误: java.lang.Exception: 无法从回复中建立链

似乎以前的版本可以直接导入,但是我用的这个JDK8版本似乎不行啊

2. 服务器密钥库信任CA根证书

keytool -importcert -file root.cer -keystore server.p12 -storepass 123456 -alias root


3.导入回复后的证书(证书请求在回复后是一个证书链)

keytool -importcert -file server.cer -keystore server.p12 -storepass 123456 -alias key

至此,后面使用Tomcat完整验证单向认证和双向认证的证书就已经准备完毕了

Tomcat 9验证单向认证和双向认证

注:因为上面的服务端证书设置名称为www.sy.com,为了能访问他,我们修改hosts文件:127.0.0.1   www.sy.com

一、单向认证

1. Tomcat安装目录下conf\server.xml修改注释更改为以下内容,或者直接更改:

<Connector       

           protocol="org.apache.coyote.http11.Http11NioProtocol"

           sslImplementationName="org.apache.tomcat.util.net.jsse.JSSEImplementation"

           port="8443" maxThreads="200"

           scheme="https" secure="true" SSLEnabled="true"

           keystoreFile="C:\CodeProjects\IdeaWebProjects\TomcatHttpsConfigure\单向认证\server.p12" keystorePass="123456"

           clientAuth="false" sslProtocol="TLS"/>

 

port="8443"https访问端口为8443Tomcat已使用8080作为http的访问端口)

keystoreFile:存储加密证书的密钥库

keystorePass:密钥库访问密码(JKS格式的话,需要在生成密钥库时storepasskeypass相同)

clientAuth:是否验证客户端,false为单向认证,true为双向认证。双向认证时需要提供信任证书列表(需配置truststoreFiletruststorePass属性)

 

除了这三个属性,其他都尽量不要变。Tomcat在注释里面都写了一些Https配置的例子,只是没有添加上述的三个属性。

想更了解的话可以去看看官方文档:http://tomcat.apache.org/tomcat-9.0-doc/ssl-howto.html#Configuration

2. 安装CA根证书root.cerCA密钥库公钥)到可信任的根证书颁发机构(不然https上会有叉叉,这样是我们为什么多此一举,自己生成根证书签名的原因)

 

打开https://www.sy.com:8443即可验证

注:

Tomcat安装目录下conf\web.xml文件里添加如下内容即可将http的访问全部定向为https

<security-constraint>

       <web-resource-collection >

              <web-resource-name >SSL</web-resource-name>

              <url-pattern>/*</url-pattern>

       </web-resource-collection>

                             

       <user-data-constraint>

              <transport-guarantee>CONFIDENTIAL</transport-guarantee>

       </user-data-constraint>

</security-constraint>

 

打开http://www.sy.com:8080会直接跳转到https://www.sy.com:8443

二、双向认证

1. 生成客户端密钥库client.p12

keytool -genkeypair -v -keystore client.p12 -storetype pkcs12 -storepass 123456 -alias client -keyalg RSA -keysize 2048 -validity 36500

2. 导出客户端证书client.cer

Keytool -exportcert -v -file client.cer -keystore client.p12 -storepass 123456 -alias client

3. 将客户端证书client.cer导入服务端密钥库信任证书列表

Keytool -importcert -v -file client.cer -keystore server.p12 -storepass 123456 -alias client

3.1网上有的将服务器证书添加进了客户端的证书信任列表,但是经测试,客户端不需要添加对服务端证书的信任也能正常访问

3.2

抱着验证是不是只要能找到信任证书路径,就可以了正常访问了的想法,我没将客户端的证书添加进服务端密钥库信任列表,而是直接保存在了一个新的密钥库里面

Keytool -importcert -v -file client.cer -alias client -keystore trustore.p12 -storepass 123456 -storetype pkcs12

配置文件如下:

<Connector       

           protocol="org.apache.coyote.http11.Http11NioProtocol"

           sslImplementationName="org.apache.tomcat.util.net.jsse.JSSEImplementation"

           port="8443" maxThreads="200"

           scheme="https" secure="true" SSLEnabled="true"

          keystoreFile="C:\CodeProjects\IdeaWebProjects\TomcatHttpsConfigure\双向认证\server.p12" keystorePass="123456"

   truststoreFile="C:\CodeProjects\IdeaWebProjects\TomcatHttpsConfigure\双向认证\trustore.p12" truststorePass="123456"

           clientAuth="true" sslProtocol="TLS"/>

打开https://www.sy.com:8443,访问成功!

4. 配置server.xml

<Connector       

           protocol="org.apache.coyote.http11.Http11NioProtocol"

           sslImplementationName="org.apache.tomcat.util.net.jsse.JSSEImplementation"

           port="8443" maxThreads="200"

           scheme="https" secure="true" SSLEnabled="true"

           keystoreFile="C:\CodeProjects\IdeaWebProjects\TomcatHttpsConfigure\双向认证\server.p12" keystorePass="123456"

   truststoreFile="C:\CodeProjects\IdeaWebProjects\TomcatHttpsConfigure\双向认证\server.p12" truststorePass="123456"

           clientAuth="true" sslProtocol="TLS"/>

 

port="8443"https访问端口为8443Tomcat已使用8080作为http的访问端口)

keystoreFile:存储加密证书的密钥库

keystorePass:密钥库访问密码(JKS格式的话,需要在生成密钥库时storepasskeypass相同)

truststoreFile保存信任证书的密钥库。这里只需要证书(公钥)即可,而我们服务端密钥库将客户端证书添加信任的同时也保存了他,所以这里可以直接设置服务端密钥库地址。假如有客户端的密钥库的话,或者新建了一个密钥库用以专门保存信任证书的话,也可以写它的地址,虽然我们只用它的公钥

truststorePass:保存信任证书密钥库的访问密码

clientAuth:是否验证客户端,false为单向认证,true为双向认证。双向认证时需要提供信任证书列表(需配置truststoreFiletruststorePass属性)

 

5. 安装CA根证书root.cerCA密钥库公钥)到可信任的根证书颁发机构

6. 安装客户端密钥库到个人(注意,是密钥库而不是证书,因为在通信的时候需要用到私钥)

打开https://www.sy.com:8443验证、

其他说明

X.509证书(*.cer*.crt

个人信息交换-PKCS#12*.pfx*.p12//一个文件中可存储多个证书

证书信任列表(*.stl

证书吊销列表(*.crl

Microsoft系列证书存储(*.cer*.cer//一个文件中可存储多个证书

加密消息语法标准-PKCS#7证书(*.spc*.p7b//一个文件中可存储多个证书

 

在只安装证书(公钥)的情况下,如.cer格式,在打开已安装证书列表中会找不到(安装到受信任的根证书颁发机构可以找到,其他的没测试)。可以通过以下方法找到:

1. Win+R->输入命令:mmc

2. 文件->添加/删除管理单元

3. 在左面列表中选择证书项,点击中间的添加按钮,在弹出界面中选择完成,回到原来界面选确定

4. 之后就可以在最开始界面的左面列表发现证书->当前用户了,进去后可以看到隐藏的已安装的公钥证书,可以右键删除也可以在这里导入新的证书

柴月和岐月
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
tomcat配置https双向认证
03-30
Tomcat 配置 HTTPS 双向认证是指在 Tomcat 服务器上配置 HTTPS 协议,以实现服务器和客户端之间的安全通信。双向认证是指服务器和客户端都需要互相验证对方的身份,以确保通信的安全性。 配置 Tomcat 双向认证需要...
利用tomcat服务器配置https双向认证https单向认证-ssl、tls
08-11
Tomcat作为流行的Java Servlet容器,提供了支持HTTPS协议的能力,这包括了单向认证(也称为服务器认证)和双向认证(也称为客户端认证)。这两种认证机制都是基于SSL(Secure Sockets Layer)和TLS(Transport Layer...
SpringBoot项目如何改成https协议
01-01 1866
keytool -genkeypair -alias "test2" -keyalg "RSA" -keystore "test.keystore" 输入密钥库口令: 再次输入新口令: 您的名字与姓氏是什么? [Unknown]: fan 您的组织单位名称是什么? [Unknown]: guosheng 您的组织名称是什么? [Unknown]: guosheng 您所在的...
证书认证
Anonymous_999的博客
03-31 1535
证书认证 证书认证是指客户端和服务器端之间的认证。主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性。 证书包括一个公钥和一个私钥。公钥用于加密信息,私钥解译加密的信息。公钥公之于众,谁都可以使用,私钥只有自己知道。 单向认证: 客户端发起建立HTTPS连接请求,将SSL协议版本的信息发送给服务器端; 服务器端将本机的公钥证书(server.crt)发送给客户端; 客户端使用<CA公钥>对公钥证书的数字签名进行验证验证通.
HTTPS双向认证流程详解与联想
最新发布
2401_84466316的博客
05-29 1225
理解HTTPS协议的认证流程,可以增加对安全的理解,HTTPS认证的过程,核心思想与Kerberos协议的认证也是互通的,是具有相似性的。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,需要点击下方链接即可前往获取。
网站配置使用https访问
weixin_43926268的博客
06-10 7090
网站配置使用https访问简单了解HTTPS、HTTP、SSL、TLSIIS配置为HTTPS方式访问Tomcat配置为HTTPS访问 简单了解HTTPS、HTTP、SSL、TLS http的连接很简单,是无状态的,无加密,也就是明文,数据都可以看到。 HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。 SSL是基于HTTP之下TCP之上的一个协议层,是基于HTTP标准并对TCP传输数据时进行加密,所以HPPTS是HTTP+SSL/TCP的简称。
Tomcat配置https方式访问
热门推荐
Boone的博客
02-20 3万+
1.准备安全证书 获得安全证书有两种方式:一种方式是到权威机构申购CA证书,还有一种方式是创建自我签名的证书。本文以自签名证书为例,使用SUN公司提供的证书制作工具keytool制作自签证书,JDK版本为1.8。首先打开cmd命令行,使用如下命令创建密钥库和密钥条目: keytool -genkeypair -alias www.bo.org -keyalg RSA -keystore d:...
SSO第三方应用SP通过OAUTH2协议请求IDP获取用户信息的授权过程
terry21的专栏
09-23 1463
整个完整的授权过程会经过IDP几类接口的交互,认证接口、获取AccessToken接口、用户信息接口,下面把相关接口按请求时序串联来讲解。
keytool+tomcat 单向/双向认证的配置
08-09
标题 "keytool+tomcat 单向/双向认证的配置" 涉及的是在Java安全领域中的证书管理和服务器身份验证。keytool是Java提供的一个命令行工具,用于管理Java密钥库(keystore),而Tomcat是广泛使用的Java应用服务器。当...
tomcat配置https单项认证
08-06
标题中的“Tomcat配置HTTPS单项认证”涉及到的是在Apache Tomcat服务器上设置安全套接层(SSL)以实现HTTPS通信的过程,尤其是关于单向认证(也称为客户端认证)的配置。在互联网上,HTTPS是HTTP协议的安全版本,...
tomcat实现SSL双向认证
11-15
本文将详细介绍如何在 Tomcat 中实现 SSL 双向认证,包括使用 JDK 的 keytool 工具创建证书、配置 Tomcat 服务器和客户端证书等。 一、SSL 双向认证的重要性 在 Web 应用程序中,安全性是非常重要的,特别是在涉及...
如何在Tomcat中做TLS客户端认证
yetugeng的专栏
07-25 1153
常见的https网站做的是服务端认证(server authentication),浏览器通过证书判断你所访问的https://baidu.com是否真的是百度,而不是其他人伪造的网站。同时还对流量加密,防止别人窃听你的流量。 tls还可以做客户端认证(client authentication),即服务端判断客户端是否为其所信任的客户端。由此可见,客户端认证用于那些需要受控访问服务端。 在数...
Android Studio创建JKS签名遇到的坑
adojayfan的博客
08-01 4575
Android Studio创建应用签名时,会碰到各种各样的错误。在此记录一下解决过程。
Tomcat中采用基于表单的安全验证
weixin_34378922的博客
03-04 151
1、概述 (1)基于表单的验证 基于From的安全认证可以通过TomcatServer对Form表单中所提供的数据进行验证,基于表单的验证使系统开发者可以自定义用户的登陆页面和报错页面。这种验证方法与基本HTTP的验证方法的唯一区别就在于它可以根据用户的要求制定登陆和出错页面。 通过拦截并检查用户的请求,检查用户是否在应用系统中已经创建好login session。如果没...
TOMCAT下实现基于表单验证的登陆方式
阿牛博客
10-23 1254
TOMCAT下实现基于表单验证的登陆方式参考了网上的一些同仁的文章,作了伟大实践,成功了,感觉果然不错另外对密码作了些处理,如存在密文(MD5加密)在登陆页面时,提交数据之前,用JS,对用户输入的密码也进行MD5加密,再进行后台数据(密码也进行了MD5加密)匹配,如果匹配成功(密码密文匹配密文)在一定程序上,也可防止密码泄漏!因为MD5是单身加密,在网络上传输的密码也是密文!数据
SSL/STL是什么?怎么工作的?Keystore 和 Truststore是什么?
Harry的博客
02-19 2507
安全套接字层(Secure Sockets Layer),也称为 SSL,是一种加密协议(encryption protocol),可在 Internet 上的设备之间创建身份验证的通道(authenticated channel),以便可以安全地共享信息。本质上,SSL 将“s”放在以“https://”开头的 URL 中,这意味着您与服务器之间的连接是安全的。 SSL 一直是网站的安全标准,直到 1999 年,更新的协议传输层安全 (TLS) 取代了它。尽管现代网站实际上使用了 TLS,但 SSL 仍
Step by step tutorial to create Keystore and Truststore file
Kevin
07-17 360
[b]Step by step tutorial to create Keystore and Truststore file[/b] [b]Introduction[/b] Truststore and Keystore file will be used in the JSSE to provide secured transaction between the client ...
Tomcat9.0设置HTTPS及HTTP双协议访问
良心有约
03-31 1716
环境 Tomcat:apache-tomcat-9.0.30 JDK:jdk1.8.0_201 第一步:生成密钥 使用JDK自带工具keytool,keytool自带的命令如下: -certreq 生成证书请求 -changealias 更改条目的别名 -delete 删除条目 -exportcert ...
tomcat https配置
CaBCo的博客
12-07 595
一、生成服务器端证书(以tomcat为例)             如果tomcat bin目录下的setclasspath.bat中没有指定java路径,则默认使用系统环境变量中的java_home;           进入java bin目录,打开cmd命令窗口,使用keytool为Tomcat生成证书,使用如下命令生成:          keytool -genke
tomcat9.0.62 双向认证
01-23
Tomcat是一种开源的Java Web服务器,Tomcat 9.0.62是其较新的版本之一。双向认证是指在建立通信连接时,双方彼此验证对方的身份,确保安全性和可靠性。 在Tomcat 9.0.62中实现双向认证,需要进行以下步骤: 1. 生成服务器端证书:首先,需要在服务器上生成一个自签名的服务器端证书。这可以使用Java的“keytool”命令来完成。该证书包含服务器的公钥和私钥。 2. 安装服务器端证书:生成证书后,需要将其安装在Tomcat的“conf”目录下,例如“server.crt”和“server.key”文件。 3. 配置Tomcat Connector:在Tomcat的“conf”目录中的“server.xml”文件中,找到“Connector”元素并配置其属性。添加“sslProtocol”属性,设置为“TLS”,以便启用SSL/TLS协议。另外,添加“keystoreFile”属性和“keystorePass”属性,分别指定服务器证书的路径和密码。确保设置“clientAuth”属性为“true”,以启用双向认证。 4. 生成客户端证书和密钥:在生成服务器端证书时,还可以生成用于客户端的证书和密钥。这可以通过Java的“keytool”命令和类似的步骤来完成。 5. 安装客户端证书:生成证书后,需要将其安装在客户端的信任库中。这可以通过将证书导入到客户端的“cacerts”文件中来完成,该文件位于JDK的“lib/security”目录下。 6. 配置客户端连接:在客户端的代码中,需要配置SSL/TLS连接以使用客户端证书。这可以通过设置Java系统属性来完成,例如“javax.net.ssl.keyStore”和“javax.net.ssl.keyStorePassword”的值分别为客户端证书和密码。 完成上述步骤后,双向认证就已经配置好了。当客户端向服务器发出请求时,服务器将验证客户端的身份,并使用客户端证书进行其验证。在通信过程中,双方都可以相互验证对方的身份,确保通信的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值