tomcat 服务器配置 https 双向认证

最新推荐文章于 2022-03-30 16:39:45 发布
最新推荐文章于 2022-03-30 16:39:45 发布
阅读量1.9k 收藏
点赞数
分类专栏: Tomcat 文章标签: tomcat 证书 https 双向 服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TroyLemon/article/details/46864027
版权

    对外开放的网站一般都会提供安全证书,已保证应用的安全性。

   我们可以通过 keytool (Windows下路径:%JAVA_HOME%/bin/keytool.exe) 工具,生成自签名证书。

   keytool 命令解释:

-genkey 在用户主目录中创建一个默认文件“.keystore”
-alias       产生别名,每个keystore都关联这一个独一无二的alias
-keystore    指定密钥库的名称(产生的各类信息将不在.keystore文件中
-keyalg      指定密钥的算法 (如 RSA  DSA(如果不指定默认采用DSA)
-validity    指定创建的证书有效期多少天
-keysize     指定密钥长度
-storepass   指定密钥库的密码(获取keystore信息所需的密码)
-keypass     指定别名条目的密码(私钥的密码)
-dname       指定证书拥有者信息 (CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码)
-list        显示密钥库中的证书信息
-v           显示密钥库中的证书详细信息
-export      将别名指定的证书导出到文件
-file        参数指定导出到文件的文件名
-delete      删除密钥库中某条目
-keypasswd   修改密钥库中指定条目口令
-import      将已签名数字证书导入密钥库

    1.首先是生成服务端证书: 

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=test,o=test,l=china,st=shanghai,c=cn" -alias server -keypass password -keystore e:/cert/server.jks -storepass password -validity 3650

    注意:上面的 cn=localhost这是必填项,并且必须是TOMCAT部署主机的域名或者IP[如:gbcom.com 或者 10.1.25.251](就是你将来要在浏览器中输入的访问地址),否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”。

    2.生成客户端证书:

keytool -genkey -keyalg RSA -dname "cn=test,ou=test,o=test,l=china,st=上海,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore e:/cert/custom.p12 -storepass password -validity 3650

    客户端的 cn 值可以随便设置,并没有限制

    3.由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件.

keytool -export -alias custom -file custom.cer -keystore custom.p12 -storepass password -storetype PKCS12 -rfc

    4.将客户端证书添加到服务端证书中: 

keytool -import -v -alias custom -file custom.cer -keystore server.jks -storepass password

    5.查看证书内容: 

keytool -list -v -keystore server.jks -storepass password

   6.生成服务端浏览器证书: 

keytool -export -v -alias server -keystore server.jks -storepass password -rfc -file server.cer

    将服务端证书(server.cer),导入到 “受信任的根证书颁发机构” 中,如下图:

    双击 server.cer,

  



    至此,服务端证书已导入到浏览器中。现在修改,tomcat server.xml 文件。

    找到如下位置:

    

    <Connector port="8090" protocol="org.apache.coyote.http11.Http11Protocol"
               connectionTimeout="20000"
	       SSLEnabled="true" 
               maxThreads="150" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS"
               keystoreFile="d:/cert/server.jks" keystorePass="password"   
               truststoreFile="d:/cert/server.jks" truststorePass="password"
/>

    如果没有修改过端口,则通常情况下不是 8090 而是 8080.

    注意:如果 protocol="HTTP/1.1" 会出现访问不了 tomcat 主页。必须写 protocol="org.apache.coyote.http11.Http11Protocol"

    补充:后续发现,并不是所有的 tomcat 版本都必须 protocol="org.apache.coyote.http11.Http11Protocol",具体情况需要根据 tomcat 版本而定。

                隔天为 tomcat 6 版本添加证书时,就发现,protocol="HTTP/1.1" 也有效果。

                那我们如何确定应该是 protocol="HTTP/1.1" or protocol="org.apache.coyote.http11.Http11Protocol" 呢?

                最简单办法是根据 server.xml 内部的注释:

首先是 tomcat 6.0.35 版本 server.xml


然后是,tomcat 7.0.57 版本,server.xml


   可以看到,框出的部分,具体情况各位视不同 tomcat 版本为准。

  

   然后修改 tomcat,web.xml 文件,在 </welcome-file-list> 后面添加:

   

    <login-config>
            <auth-method>CLIENT-CERT</auth-method>
            <realm-name>Client Cert Users-only Area</realm-name>
    </login-config>
    <security-constraint>
        <web-resource-collection>	
                    <web-resource-name>SSL</web-resource-name>
                    <url-pattern>/*</url-pattern>
        </web-resource-collection>
        <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>

    重启,tomcat,访问:https://localhost:8090 验收成果。



TroyLemon
关注
专栏目录
基于tomcathttps(ssl)双向认证
lgq2016的博客
02-04 2372
某个供应商服务需要部署到海外,如果海外多个地区需要部署多个服务,最好能实现统一登录,这样可以减轻用户的使用负担(不用记录一堆密码)。由于安全问题(可能会泄露用户数据),海外服务不能直连公司sso服务端,因此需要其他的方案解决安全问题。最终的安全方案中需要用到SSL双向认证进行数据的传输和交互,并且只指定某些个别接口实现SSL双向认证。在此背景下,这篇文章介绍基于tomcat的SSL双向认证的简单实现。
TOMCAT-SSL双向认证-配置实例
hancyjonh的专栏
12-24 401
功能:保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,确保数据在网络上之传输过程中不会被截取及窃听,防止篡改。   如何让我们的WEB应用程序应用SSL安全保障?经过几天摸索,终于实现 TOMCAT+SSL 双向认证,也就是说,首先,客户端将要认证服务器的安全性,确保访问的是正确的服务器,而非假冒的钓鱼网站;其次,服务器也要认证客户端的安全性,只有那些拥有服务
利用tomcat服务器配置https双向认证
热门推荐
Joyce Luo的专栏
07-04 2万+
首先请保证已经安装好jdk,并且环境变量以及配置好了 第一步、为服务器生成证书:         使用toolkey为tomcat生成证书,假定目标机器的域名为localhost,使用如下命令生成:keytool –genkey –v –aliaslocalhost_server RSA –keystore localhost_server.store  –validity 365
Tomcat服务器配置https双向认证(使用keytool生成证书
chensibin3381的博客
01-03 325
一,HTTPS原理 1,HTTP、HTTPS、SSL、TLS介绍与相互关系 (1)HTTP:平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的(明文),因此使用HTTP协议传输隐私信息非常不安全。 (2)HTTPS:为了保证隐私数据能加密传输,采用SSL/TLS协议用于对...
详解用Tomcat服务器配置https双向认证过程实战
09-30
本文将详细阐述如何使用Tomcat服务器配置HTTPS双向认证的过程。 首先,需要明确什么是HTTPS双向认证HTTPS双向认证是指客户端与服务器在通信过程中,双方都要进行身份验证。也就是说,不仅服务器需要验证客户端的...
Tomcat服务器配置https双向认证
12-06
### Tomcat服务器配置HTTPS双向认证详解 #### 一、HTTPS原理及TLS/SSL特性 **1. HTTP、HTTPS、SSL、TLS的关系** - **HTTP**(HyperText Transfer Protocol): 是一种应用层协议,用于从Web服务器传输超文本到本地...
利用tomcat服务器配置https双向认证https单向认证-ssl、tls
08-11
在IT行业中,安全通信是至关重要的,特别是在网络服务器与客户端之间传输...这涉及到SSL/TLS协议的理解,证书的获取和管理,以及Tomcat服务器配置。同时,选择合适的JDK版本也很重要,以确保所有安全功能的正常运作。
tomcat https双向认证(包含PC端和移动端操作)
Angus博客
03-30 6171
原理: 个人理解:双向认证就是客户端和服务器之间互相认证,客户端拿着自己的证书服务器的公钥证书服务器认证服务器拿着自己的证书和客服端公钥认证客户端。服务器私钥解密客户端拿服务器公钥加密的数据。客户端拿自己的私钥解密服务器拿客户端公钥加密的数据。 操作 : 本地需要有jdk环境和配置 1:通过jdktools生成服务器证书 创建服务器密钥,其密钥库为 d:/mykeys/server.ks,注意keypass和storepass保持一致, 它们分别代表 密钥密码和密钥库密码,注意 CN=lo.
tomcat6配置https (双向认证/单向认证)
好好学习,好好工作
11-22 6281
tomcat6配置https tomcat6配置双向认证 1、生成服务器证书 keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650 2、生成客户端证书 keytool -genkey -keyalg RSA
tomcat配置双向认证
叶落啼莺
08-02 418
服务器生成根证书:keytool -genkey -v -alias rootca -keyalg RSA -keystore E:\code\BJ\ESeal_MS_3.X\02-Code\01-Source\01-Trunk\0002Eseal_MS_3.1\key\keystore.keystore -validity  36500为客户端生成证书:keytool -genkey -v -...
tomcat 配置https 双向认证
淡淡的心
11-26 3491
tomcat 配置https 双向认证1. 生成https证书1.1 Linux生成脚本1.2 windows下生成步骤1.2.1 生成server端证书1.2.2 生成client端证书1.2.3 把客户端证书导出为一个单独的CER文件1.2.4 导入到服务器证书库,添加为一个信任证书1.2.5 查看服务器证书库(确定是否导入成功)2. 配置tomcat3. client端安装证书 1. 生成https证书   本方案生成证书需要java环境 1.1 Linux生成脚本 #!/bin/bash ec
tomcat双向认证
flyer222的专栏
04-19 648
Tomcat双向认证的问题这么多,贴一篇我总结的Tomcat双向认证方法 tomcat实现SSL配置  tomcat实现SSL配置 编辑tomcat配置文件server.xml,去掉下面SSL Connector的注释,修改为如下:                port="8443" minProcessors="5" maxProcessors="75"           enableLo
使用tomcat配置TLS双向认证
jqtfh的专栏
07-14 1480
最近要搞一个内部服务,只允许内网访问,而且必须的安装证书才可以调用该接口,就需要使用tomcat配置TLS双向认证,参看了很多文章,比较好的一篇推荐如下:https://blog.csdn.net/u011682673/article/details/77825720 jdk版本:1.8.0_211 tomcat版本:8.5.51 一、生成证书 A、生成服务器证书 使用jdk自带的keytools工具生成证书,进入jdk的目录: D:\programfiles\jdk1.8.0_211>
tomcat6配置https
lifeneedyou的专栏
08-04 252
     公司的安全产品在做CCC认证,由于刚开始使用的是HTTP协议,在认证的时候他们说要使用加密的协议,所以需要配置SSL加密。    关于tomcat6配置SSl,tomcat的文档本身是有带说明的。有兴趣的可以去看一下。htpp://localhost:8080/docs就是这个地址。    这里描述一下配置的过程。   1首先使用jdk的keytools.exe生成认证文件。进入j...
HTTPS双向认证配置--tomcat8.5.55和JDK8基本环境
qq_43185059的博客
07-13 967
HTTPS双向认证配置实验内容实验步骤一.安装jdk二、为服务器端生成一个证书三、为客户端生成证书四、客户端证书导入五、客户端的服务端相互信任,给他们相互安装证书服务器端信任客户端证书客户端信任服务证书六、配置Tomcat七、浏览器输入https://localhost:8443,继续访问八、浏览器查看证书,工具,Internet选项 实验内容 实验目标 通过安装和配置JDK8和tomcat8.5.55,建立一个基本环境,主要目的: 为网络安全试验做准备 授权客户端和服务端的信任证书,从而可以进行访问。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值