配置Tomcat连接密码设备实现HTTPS

最新推荐文章于 2022-11-15 10:57:59 发布
最新推荐文章于 2022-11-15 10:57:59 发布
阅读量3.2k 收藏 2
点赞数 1
分类专栏: WEB开发 PKI/CA 系统与网络管理 文章标签: tomcat hsm ssl https 密码设备
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arlaichin/article/details/20584867
版权

硬件密码模块(HSM)可以是密码机、密码卡、USBKey,前提是它们有提供PKCS#11接口。
Tomcat(JBoss等J2EE服务器)连接加密机(加密卡,USBKey)等做SSL服务端,通信调用层次大概是HTTPS->JSSE->JCE->PKCS#11->密码介质。


下面以海泰USBKey为例,配置基本步骤:
1 写P11配置文件pkcs11.cfg,内容大概:
name = HtKeyTest
library = C:/Windows/System32/HtPkcs11.dll
slot = 0

2 配置JRE的java.security文件,增加一个提供者:
security.provider.10=sun.security.pkcs11.SunPKCS11 D:/Java/jre6/lib/security/pkcs11.cfg

3 配置Tomcat的server.xml,在SSL配置项:
<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
      maxThreads="150" scheme="https" secure="true"
      clientAuth="false" sslProtocol="TLS"
      truststoreFile="${catalina.home}/conf/https/cacerts"

      keystoreProvider="SunPKCS11-HtKeyTest"
      keystore="NONE"
      keystoreType="PKCS11"
      keystorePass="12345678"
/>

Tomcat会找到第一个容器里的证书及密钥对作为服务器端证书及密钥对。然后就可以正常访问 https://ip/

 

 

一些有用的命令:

keytool命令:
keytool -keystore NONE -storetype PKCS11 -providerName SunPKCS11-HtKeyTest -list

 

Tomcat配置参数说明:

<Connector port="443"
  minSpareThreads="25"
  maxThreads="150"
  maxSpareThreads="75"
  maxHttpHeaderSize="8192"
  enableLookups="false"
  disableUploadTimeout="true"
  acceptCount="100"
  connectionTimeout="60000"

  SSLEnabled="true"
  scheme="https"
  secure="true"
  clientAuth="true"  //"true","want","false". default "false"
  protocol="TLS"  //"TLS","SSL v3". default "TLS"
  ciphers="TLS_RSA_WITH_RC4_128_SHA"

  truststoreProvider="SunJSSE"
  truststoreType="JKS"  //default "JKS"
  truststoreFile="${catalina.home}/conf/https/cacerts"
  truststorePass="12345678" //default "changeit"
  truststoreAlgorithm="PKIX" //"SunX509","PKIX"
  crlFile="netca_indv.crl"

  keystoreProvider="SunPKCS11-HtKeyTest"
  keystoreType="PKCS11"  //"JKS","PKCS12". default "JKS"
  keystore="mykey.jks"
  keyAlias="FCA584CA-D5DC-CB1B-0CDE-38B039424862" //default "server"
  keystorePass="12345678" //default "changeit"
  algorithm="SunX509"  //"SunX509","NewSunX509"
/>
javax.net.ssl.keyStoreType system property

 

REF:
Sun JSSE的配置:http://docs.oracle.com/javase/6/docs/technotes/guides/security/jsse/JSSERefGuide.html
Sun PKCS11 JCE的配置:http://docs.oracle.com/javase/6/docs/technotes/guides/security/p11guide.html
SSL/TLS Configuration HOW-TO: https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html

Apache Tomcat Configuration Reference -> The HTTP Connector:https://tomcat.apache.org/tomcat-7.0-doc/config/http.html
arlaichin
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Tomcat配置SSL双向认证
03-23
Tomcat配置SSL双向认证简单实例
国密SSL浏览器访问国密SSL规范Tomcat服务器的完整方法(附演示DEMO访问方法)
04-09
1. 解压缩ZIP文件,安装国密浏览器(只能安装此版本,其它版本不能信任指定根证书,无法使用) 2. 将ctl.dat文件复制到此目录下:C:\Users\自己的账户名\AppData\Roaming\360se6\Application\User Data\Default\ctl 注意:上面从"User Data\Default\ctl"的目录并不存在,需要手工创建 3. 使用新安装的国密浏览器访问 https://127.0.0.1 地址,浏览器通过GMSSL_ECC_WITH_SM4_CBC_SM3国密密码套件与TOMCAT服务器建立国密SSL规范的单向加密通道,并打开指定网页 以上步骤经过实际测试 感谢大宝CA(http://www.DoubleCA.com)的国密SM2数字证书支持
首次安装TomCat服务器连接提示输入密码
qq_44288282的博客
09-03 271
Oracle占用8080端口 解决方法: 方法1:停止所有oracle的服务并将其启动权限改为手动 方法2:进入tomcat文件夹下的conf->server.xml,修改默认的8080端口号
tomcat支持国密SSL
gmssl的博客
08-18 3688
tomcat支持国密SSL 1 背景 Tomcat自身支持标准的SSL协议,但并不支持国密SSL协议。本文描述了Tomcat配置的国密SSL协议(单向)的完整过程,仅供学习和参考之用。 2 环境 服务器OS是CentOS7.7的64位版本,IP位192.168.0.97,客户端OS是WindowsXP。 JRE是jre-8u212-linux-x64.rpm。 Tomcat是apache-tomcat-9.0.37.tar.gz。 浏览器是360安全浏览器(支持国密)。 3 国密双证书 1) 生成国密双证
Tomcat配置HTTPS证书认证
05-20
Tocmat下的HTTPS认证,折腾了一天了,终于弄成了,记录下!
tomcat同时使用http和https访问的配置方法
09-30
本文将详细讲解如何配置Tomcat服务器,使其能够同时支持HTTP和HTTPS协议,以满足不同场景下的安全需求。 首先,要理解HTTP和HTTPS的区别。HTTP(超文本传输协议)是一种无状态、明文传输的数据通信协议,它不提供...
详解如何给Tomcat配置Https/ssl证书
09-30
最后确认并设置别名“tomcat”的密码。 生成的“localhost-rsa.jks”文件包含了我们的自签名证书,接下来需要将其配置Tomcat中: 1. 将生成的“localhost-rsa.jks”文件复制到Tomcat的“conf”目录下。 2. 编辑...
tomcat连接配置
03-10
本文将深入探讨Tomcat连接池的配置,包括为什么要使用连接池、如何配置以及相关jar包和文档的使用。 一、连接池的概念 连接池是一种在应用程序启动时预创建一定数量的数据库连接,供多个线程共享使用的机制。当应用...
tomcat_连接池数据库密码加密解密方法
12-13
### Tomcat连接池数据库密码加密解密方法详解 在企业级应用中,数据库的安全性尤为重要。其中,数据库连接池作为应用程序与数据库之间的桥梁,扮演着关键角色。然而,当数据库的用户名和密码直接硬编码在配置文件...
AES256 加密 解密 Tomcat连接池数据库密码加密_1
08-31
使用AES256加密技术实现tomcat7对连接池数据库密码加密解密,资源中包含加密小程序,小程序实现加密tomcat实现解密,方便客户自己修改数据库密码且是密文!支持多操作系统如:linux mac os 文件太多分成两部分请...
支持国密SSL通信协议的TOMCAT8.5.45,大宝CA版本,0.99版本,2019.09.17
09-17
使用方法见:https://blog.csdn.net/upset_ming/article/details/94435288 1. 修改了以前版本中的一些BUG 2. 可以适配360、密信、海泰等国密浏览器 3. 支持国密SSL双向认证
SM2/3/4/9 算法 规范
02-05
SM2/3/4/9 算法 规范,不含代码实现,对称加密算法SM2  非对称加密算法SM4  摘要算法SM3,SM9 IBE规范
开启tomcatSSL(https)支持
zsk
04-30 1900
实验环境: apache-tomcat-7.0.29, JDK7 , win7   打开conf/server.xml会发现有下面一段配置被注释着:                        maxThreads="150"scheme="https" secure="true"                clientAuth="false"sslProtocol="TLS"
一、Tomcat 配置
骑士梦的博客
04-10 1840
一、Tomcat 架构 二、Tomcat 组件及关系 三、server.xml 配置 四、Tomcat 脚本 五、Spring Boot 配置
csharp用BouncyCastle进行国密签名&加解密
pridas的博客
10-19 5235
using System; using System.Collections.Generic; using System.Linq; using System.Web; using Org.BouncyCastle.Asn1.X9; using Org.BouncyCastle.Asn1.GM; using Org.BouncyCastle.Crypto.Parameters; using Org.BouncyCastle.Crypto; using Org.BouncyCastle.Security; u
centos7+tomcat搭建国密网站
啊渊的专栏
11-06 1461
环境centos7+tomcat8.5+国密 一、安装基础软件 #yum install wget -y #yum install -y vim #yum install gcc -y 二、下载安装tomcat #wget https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-8/v8.5.59/bin/apache-tomcat-8.5.59.tar.gz #tar -zxvf apache-tomcat-8.5.59.tar.gz
问题排查-sm2和sm3加密报错[Could not initialize class]
d495435207的博客
09-23 3390
问题排查:Could not initialize class c om.antherd.smcrypto.sm3.Sm3 过程和结论
国密sm2公钥加密 私钥解密java代码实现
最新发布
weixin_51613454的博客
11-15 1万+
国密 sm2公私钥加解密工具类 生成秘钥对
SM2&SM3&SM4 Java实现分析
weixin_41323270的博客
07-18 1728
地址: https://www.2cto.com/kf/201603/496011.html
Java JDBC连接实现Tomcat配置详解
配置文件通常位于`conf/server.xml`中,需设置数据源(DataSource)及其属性,如URL、用户名、密码、最大连接数等。 8. **Tomcat中的连接配置**:对于不同的Tomcat版本和Web应用程序,JDBC驱动可能需要放在不同的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值