Tomcat配置使用SSL双向认证(使用openssl生成证书)

最新推荐文章于 2022-03-30 16:39:45 发布
最新推荐文章于 2022-03-30 16:39:45 发布
阅读量9.8k 收藏 11
点赞数
分类专栏: HTTP 文章标签: tomcat ssl internet 浏览器 scheme server

原文来自:http://liujy1111.blog.163.com/blog/static/49739712008842372293/

不过我按照上面的步骤做下来,https的服务起不来,总是提示证书文件不存在或者格式非法。搞了好久终于搞定了,在这里总结一下。

 

环境信息:

软件                            版本                                                   安装路径

Tomcat                       apache-tomcat-7.0.11                      D:/tomcat/apache-tomcat-7.0.11

OpenSSL                    OpenSSL 0.9.8k 25 Mar 2009           D:/OpenSSL

JDK                             jdk1.6.0_12                                      D:/Program Files/Java/jdk1.6.0_12

 

 

说明:

我的Openssl使用的是工具包,就是目录下只有一些exe文件和.manifest文件什么的。根据后面步骤的需要我们还需要做如下工作。

1、从Openssl的带源代码的完整包的openssl-x.x.x/apps目录下拷贝一个Openssl.cnf配置文件放在D:/OpenSSL下

2、在D:/OpenSSL下面创建ca、jks、server、client四个文件夹。

3、下面步骤中红色标识的是我曾经遇到的问题,或者跟原文不一样的地方。

 

 

开始:

一:生成CA证书

 

目前不使用第三方权威机构的CA来认证,自己充当CA的角色。

网上下载一个openssl软件

1.       创建私钥 :

D:/OpenSSL>openssl genrsa -out ca/ca-key.pem 1024

2.创建证书请求 :

注意:这一步我执行是提示缺少openssl文件,这就是为什么我们需要拷贝一个openssl.cnf文件到这里的原因。

         当然也可以使用 -config 参数指定一个别的完整路径或者自己写一个简单的配置文件。偶是不会写啦^_^

D:/OpenSSL>openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem -config openssl.cnf

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:zhejiang

Locality Name (eg, city) []:hangzhou

Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision

Organizational Unit Name (eg, section) []:test

Common Name (eg, YOUR name) []:root

Email Address []:sky

3.自签署证书 :

D:/OpenSSL>openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650

4.将证书导出成浏览器支持的.p12格式 :

D:/OpenSSL>openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12

密码:changeit      

二.生成server证书。

1.创建私钥 :

D:/OpenSSL>openssl genrsa -out server/server-key.pem 1024

2.创建证书请求 :

D:/OpenSSL>openssl req -new -out server/server-req.csr -key server/server-key.pem -config openssl.cnf

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:zhejiang

Locality Name (eg, city) []:hangzhou

Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision

Organizational Unit Name (eg, section) []:test

Common Name (eg, YOUR name) []:localhost   注释:一定要写服务器所在的ip 地址 //红色这里是本机测试,所以我写localhost

Email Address []:sky

3.自签署证书 :

D:/OpenSSL>openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650

4.将证书导出成浏览器支持的.p12格式 :

D:/OpenSSL>openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12

密码:changeit

三.生成client证书。

1.创建私钥 :

D:/OpenSSL>openssl genrsa -out client/client-key.pem 1024

2.创建证书请求 :

D:/OpenSSL>openssl req -new -out client/client-req.csr -key client/client-key.pem -config openssl.cnf

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:zhejiang

Locality Name (eg, city) []:hangzhou

Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision

Organizational Unit Name (eg, section) []:test

Common Name (eg, YOUR name) []:sky

Email Address []:sky      注释:就是登入中心的用户(本来用户名应该是Common Name ,但是中山公安的不知道为什么使用的Email Address ,其他版本没有测试)

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:123456

An optional company name []:tsing

3.自签署证书 :

D:/OpenSSL>openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650

4.将证书导出成浏览器支持的.p12格式 :

D:/OpenSSL>openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12

密码:changeit

四.根据ca证书生成jks文件

 

D:/OpenSSL> keytool -keystore C:/openssl/bin/jks/truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file C:/openssl/bin/ca/ca-cert.pem

五.配置tomcat ssl

修改conf/server.xml。原文是5.5和6.0版本的配置,我用的是7.0,配置如下。

xml 代码

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS"
               keystoreFile="server.p12 " keystorePass="changeit" keystoreType="PKCS12"
               truststoreFile="truststore.jks " truststorePass="222222" truststoreType="JKS"
               SSLCertificateFile="../server-cert.pem"
               SSLCertificateKeyFile="../server-key.pem" />

      红色部分的配置原文没有提到,我在启动tomcat时总是提示证书不存在或者格式非法,搞了好久=.=!

      后来在帮助文档中看到这两个配置才找到原因。

      这里使用到了四个文件,各个文件都是在前面的步骤中生成的。四个文件都是放在tomcat的根目录下。

      蓝色标识的server.p12和truststore.jks这两个文件需要放在tomcat的根目录下。

      红色的server-cert.pem和server-key.pem默认是放在tomcat的bin文件夹下的,我放在了根目录下,所以这里使用了相对路径../。

六.导入证书

将ca.p12,client.p12分别导入到IE中去(打开IE->;Internet选项->内容->证书)。

ca.p12导入至受信任的根证书颁发机构,client.p12导入至个人

 

七.验证ssl配置是否正确访问你的应用http://localhost :8443/ ,如果配置正确的话会出现请求你数字证书的对话框。

 

 

 

 

 

验证:

 

在我验证时,我没有导入ca.p12和client.p12也能访问http://localhost:8443,只是提示证书不安全。安装了以后也没有变化。是不是没有对客户端进行验证?

 

天问
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Tomcat配置SSL证书
个人学习笔记库,一篇一篇记录成长的足迹
07-30 1万+
本地即服务器以tomcat作为服务器的ssl证书配置,开放https安全访问。
openSSL制作证书并在tomcat配置
05-21
自己学习openSSL的一些总结,很初步,希望能够帮助到跟我一样刚刚开始接触openSSL的朋友,很浅显,我也是初学者,希望大家不要见笑。
TomcatOpenssl构建HTTPS双向认证(
tengji900的专栏
07-08 930
<br />一、创建服务器证书、客户端证书以及CA<br />环境系统为RedHat AS4 Update4,openssl版本为OpenSSL 0.9.7a Feb 19 2003,应该是系统自带版本。<br />拷贝openssl.cnf文件到当前目录,按照openssl.cnf文件中配置需要在当前目录下建立几个文件和文件夹,有./demoCA/  ./demoCA/newcerts/  ./demoCA/index.txt  ./demoCA/serial,在serial文件中写入第一个序列号“01”
tomcatopenSSL构建https双向认证
07-28
这是我实战的笔记,全程直播。 #### TomcatOpenssl构建HTTPS双向认证 ###### 选择HTTPS WEB服务器 Linux下安装OpenSSL 一、创建服务器证书、客户端证书以及CA 1、生成--服务器端--私钥和证书请求 2、生成--客户端-----私钥和证书请求 3、生成CA 4、通过CA签发证书 5、生成pem格式证书 6、生成pkcs12格式证书 二、tomcat实现双向认证 1、创建服务器信任的CA证书库 2、配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书
window环境下利用OpenSSLtomcat配置证书
intellig_id的博客
08-02 1077
windo环境下利用OpenSSLtomcat配置证书 自己在配置证书时走了很多弯路,加之全网并没有一个有效的解决方法顾写下此文 不多废话 首先进入OpenSSL在bin下建立一个CA文件夹用于存放:自制CA证书,自制客户端、服务端证书 进入CA文件夹打开cmd 为服务器端和客户端准备公钥、私钥: 生成服务端私钥 openssl genrsa -out server.key 1024 接着生成服务器端公钥: openssl rsa -in server.key -pubout -out ser
Tomcat6和5.5配置使用SSL双向认证使用openssl生成密钥)
07-15
一:生成CA证书 二.生成server证书。 三.生成client证书。 四.根据ca证书生成jks文件 五.配置tomcat ssl 六.导入证书 七.验证ssl配置是否正确
基于Tomcat搭建SSL双向认证示例【100012422】
05-24
在IT行业中,安全通信是至关重要的,特别是...通过上述步骤,你可以在Tomcat上实现一个完整的SSL双向认证环境,并利用Java和Apache HttpClient进行安全的通信。这个过程对于理解网络安全和提高应用安全性具有重要意义。
Tomcat6和5.5配置使用SSL双向认证使用openssl生成密钥).rar
07-15
在这个场景中,我们将探讨如何在Tomcat 6和5.5版本中配置SSL双向认证,并使用openssl工具生成必要的密钥文件。 **一、生成CA证书** 创建一个自签名的根证书颁发机构(Root CA)是SSL双向认证的第一步。这可以通过...
通过tomcat实现SSL双向认证
09-20
通过 Tomcat 实现 SSL 双向认证需要同时配置 Web 服务器证书和客户端证书,并在服务器和客户端之间正确安装根证书配置 Tomcat 实现 SSL 双向认证可以提高数据传输的安全性,保护网络通信的安全。
如何用TomcatOpenssl构建HTTPS双向认证环境(HTTPS客户端认证
热门推荐
雕虫小技
04-29 3万+
 本文将介绍如何利用Tomcat的HTTPS功能,和一个自己创建的CA,来构建WEB服务器证书和个人数字证书,最终建成一个HTTPS双向认证环境(可以用于测试目的)。本文构建HTTPS双向认证的业务流程大致如下:  1. 创建WEB服务器公钥密钥,并生成服务器证书请求。  2. 利用自建的CA,根据服务器证书请求为服务器签发服务器证书。然后把服务器证书导回WEB服务器中。  3. 利用open
使用OpensslTomcat配置SSL(双向认证)
孙钰佳的博客
10-05 2万+
转载请注明出处:http://blog.csdn.net/sunyujia/其实我手头上有许多正规ca颁发的证书不过都是过期的,每次使用都需要调整系统日期,不方便,所以就想自己做一套以备平时测试使用。本文只介绍如何配置,至于理论性的东西请读者自行 百度或者google 网上很多配置步骤:1.安装检查openssl环境安装openssl的方法见http://blog.csdn.n
openssl双向认证 tomcat_openssl实现双向认证教程(服务端代码+客户端代码+证书生成)...
weixin_39889329的博客
12-24 372
一、背景说明1.1 面临问题最近一份产品检测报告建议使用基于pki的认证方式,由于产品已实现https,商量之下认为其意思是使用双向认证以处理中间人形式攻击。《信息安全工程》中接触过双向认证,但有两个问题。第一个是当时最终的课程设计客户端是浏览器,服务端是tomcat双向认证只需要对两者进行配置并不需要自己真的实现代码。第二个是虽然课程也有接近双向认证的实现代码,但当时是Java+JCE环境现在要...
tomcat部署https,用openssl签发证书
龙龟的文具盒
05-26 5388
常见后缀cer,crt证书(不支持私钥) 一般是签署后CA颁发的证书,实质是CA用私钥在申请者的公钥上签名 —–BEGIN CERTIFICATE—–csr:(Certificate Signing Request) 申请签名的证书请求 –-BEGIN NEW CERTIFICATE REQUEST–pfx,p12:(Personal Information Exchange) 存储证书和私
openssl命令生成公私钥、证书方法,apache/tomcat支持https的证书配置
caomiao2006的专栏
07-10 1万+
生成keystore文件: keytool -genkey -alias tomcat -keyalg RSA  -keystore  H:/tomcat.keystore -validity 36500 从keystore的privatekeyEntry导出csr: keytool -certreq -alias tomcat -sigalg MD5withRSA -file to
windows下tomcat+nginx+openssl配置双向认证
weixin_34237596的博客
08-16 138
1. 基础知识 CA证书:https://blog.csdn.net/yangyuge1987/article/details/79209473 SSL双向认证原理:https://blog.csdn.net/ustccw/article/details/76691248 OpenSSL命令详解:https://blog.csdn.net/scuyxi/article/details/548...
tomcat https双向认证(包含PC端和移动端操作)
Angus博客
03-30 6127
原理: 个人理解:双向认证就是客户端和服务器之间互相认证,客户端拿着自己的证书和服务器的公钥证书去服务器认证,服务器拿着自己的证书和客服端公钥认证客户端。服务器私钥解密客户端拿服务器公钥加密的数据。客户端拿自己的私钥解密服务器拿客户端公钥加密的数据。 操作 : 本地需要有jdk环境和配置 1:通过jdktools生成服务器证书 创建服务器密钥,其密钥库为 d:/mykeys/server.ks,注意keypass和storepass保持一致, 它们分别代表 密钥密码和密钥库密码,注意 CN=lo.
openssl双向认证 tomcat_openssl + tomcat 完成 https 双向认证配置
weixin_42181545的博客
01-14 5778
0、中心思想项目里需要https双向认证证书的提供就不等别人了,自己卷起袖子生成证书,这样进度会快一些。其实,对于openssl使用,我现在也是糊里糊涂,从网上借鉴了一些方法,攒出来这个可行的脚本,跟大家分享一下。欢迎较真的朋友指点其中的不足,这样,我就又可以提高一点了:)1、主要内容首先,生成一个CA,也就是根证书。然后,生成两个证书请求,将来生成证书分别是给client和server用的...
实现Tomcat双向认证
简单
02-01 178
概念: SSL: Security Socket Layer Protocol 公钥与私钥:对于OpenSSL, 私钥里面也包括了公钥信息。 所以公钥不需要单独生成。 公钥生成算法: 最流行的与证书相关的为 RSA和DSA. 详述: 要实现SSL双向认证, 你必须同时配置Web服务器证书和客户端证书, 并且需要在服务器和客户端之间正确安装根证书。所以, 要配置双向SSL,...
使用openssl生成证书后部署在Tomcat
最新发布
06-09
Tomcat 中部署使用自签名证书时,需要执行以下步骤: 1. 将私钥和证书合并成一个 PKCS12 格式文件 使用 OpenSSL 库可以将私钥和证书合并成一个 PKCS12 格式文件,可以通过以下命令: ``` openssl pkcs12 -export -in certificate.pem -inkey privateKey.pem -out certificate.p12 -name "tomcat-cert" ``` 这将使用证书 `certificate.pem` 和私钥 `privateKey.pem` 生成一个 PKCS12 格式文件,并将其保存到名为 `certificate.p12` 的文件中。在这个例子中,我们将别名设置为 `tomcat-cert`。 在执行此命令时,需要输入一个密码以保护私钥和证书文件。 2. 将 PKCS12 文件复制到 Tomcat 的 conf 目录中 将生成的 PKCS12 文件 `certificate.p12` 复制到 Tomcat 的 `conf` 目录中。 3. 配置 Tomcatserver.xml 文件 打开 Tomcat 的 `conf/server.xml` 文件,找到以下配置: ``` <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" ... /> ``` 将其修改为以下配置: ``` <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="${catalina.home}/conf/certificate.p12" keystoreType="PKCS12" keystorePass="your_password" alias="tomcat-cert" /> ``` 其中,`keystoreFile` 指定 PKCS12 文件的路径,`keystoreType` 设置为 PKCS12,`keystorePass` 是生成 PKCS12 文件时设置的密码,`alias` 是用于识别证书和私钥的别名。 4. 重新启动 Tomcat 重新启动 Tomcat,然后使用浏览器访问 `https://localhost:8443`,你应该可以看到使用自签名证书Tomcat 主页。在访问时,浏览器可能会显示警告,因为自签名证书不被认为是可信的。你可以选择信任该证书并继续访问。 注意:在生产环境中,你应该使用 CA 颁发的证书,以确保通信的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值