Tomcat6配置使用SSL双向认证

最新推荐文章于 2024-07-25 15:00:09 发布
最新推荐文章于 2024-07-25 15:00:09 发布
阅读量545 收藏
点赞数
分类专栏: 安全 文章标签: tomcat ssl server 浏览器 acegi scheme

,在用户登录时除了效验用户名密码,还需验证其数字证书。

相关资源:IBM developerWroks中国中的tomcat4中使用SSLjavaeye中的Acegi X.509双向认证 tomcat4中使用SSL中的异同:jdk1.4中已经包含JSSE

AcegiX.509双向认证中的异同:tomcat6配置文件多了SSLEnabled="true"属性。

1.生成CA证书。目前不使用第三方权威机构的CA来认证,自己充当CA的角色。

1.创建私钥 C:/OpenSSL/apps>openssl genrsa -out root/root-key.pem 1024

2.创建证书请求 C:/OpenSSL/apps>openssl req -new -out root/root-req.csr -key root/root-key.pem

3.自签署证书 C:/OpenSSL/apps>openssl x509 -req -in root/root-req.csr -out root/root-cert.pem -signkey

root/root-key.pem -days 3650

4.将证书导出成浏览器支持的.p12格式 C:/OpenSSL/apps>openssl pkcs12 -export -clcerts -in root/root-cert.pem -inkey

root/root-key.pem -out root/root.p12

 

2.生成server证书。

1.创建私钥 C:/OpenSSL/apps>openssl genrsa -out server/server-key.pem 1024

2.创建证书请求 C:/OpenSSL/apps>openssl req -new -out server/server-req.csr -key server/server-key.pem

3.自签署证书 C:/OpenSSL/apps>openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey

server/server-key.pem -CA root/root-cert.pem -CAkey root/root-key.pem -CAcreateserial -days 3650

4.将证书导出成浏览器支持的.p12格式 C:/OpenSSL/apps>openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey

server/server-key.pem -out server/server.p12

 

3.生成client证书。

1.创建私钥 C:/OpenSSL/apps>openssl genrsa -out client/client-key.pem 1024

2.创建证书请求 C:/OpenSSL/apps>openssl req -new -out client/client-req.csr -key client/client-key.pem

3.自签署证书 C:/OpenSSL/apps>openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey

client/client-key.pem -CA root/root-cert.pem -CAkey root/root-key.pem -CAcreateserial -days 3650

4.将证书导出成浏览器支持的.p12格式 C:/OpenSSL/apps>openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey

client/client-key.pem -out client/client.p12

 

4.根据root证书生成jks文件

C:/OpenSSL/apps/root>keytool -import -v -trustcacerts -storepass password -alias root -file root-cert.pem

-keystore root.jks

 

5.配置tomcat ssl,修改conf/server.xmltomcat6中多了SSLEnabled="true"属性。

keystorefile, truststorefile设置为你正确的相关路径

xml 代码

 

<connector secure="true" scheme="https" protocol="HTTP/1.1" port="8443"      

sslenabled="true" maxhttpheadersize="8192" maxthreads="150"      

minsparethreads="25" maxsparethreads="75" enablelookups="false"      

disableuploadtimeout="true" acceptcount="100" sslprotocol="TLS"      

clientauth="true" keystorefile="d:/path/bin/x509/server.p12"      

keystoretype="PKCS12" keystorepass="123456" truststorefile="d:/path/bin/x509/root.jks"    

truststoretype="JKS" truststorepass="123456"/>    

 

6.root.p12client.p12分别导入到IE中去(打开IE->;Internet选项->内容->证书)。

root.p12导入至受信任的根证书颁发机构client.p12导入至个人

7.访问你的应用http://ip:8443,如果配置正确的话会出现请求你数字证书的对话框。

8.jsp中取得符合x.509格式的证书

java 代码

 

<%      

        //获得certificate chain     

        X509Certificate[] ca=(X509Certificate[])request.getAttribute("javax.servlet.request.X509Certificate");     

      if(ca==null)     

      {     

        out.println("No cert info!");     

      } else {     

        String  serial=ca[0].getSerialNumber().toString();     

        String DN=ca[0].getSubjectDN().toString();       

      }     

      %>  

 

http://grandboy.javaeye.com/blog/179410

KeytoolOpenSSL生成和签发数字证书

转自: http://zhouzhk.javaeye.com/blog/136943

生成server端证书

1)生成KeyPair生成密钥对

keytool -genkey -alias tomcat_server -validity 365 -keyalg RSA -keysize 1024 -keypass 123456  -storepass 123456 -keystore server_keystore

输入common name时,要和服务器的域名保持一致。

2)生成证书签名请求

keytool -certreq -alias tomcat_server -sigalg MD5withRSA -file tomcat_server.csr -keypass 123456 -storepass 123456 -keystore server_keystore

3)CA私钥进行签名,也可以到权威机构申请CA签名。

   openssl ca -in tomcat_server.csr -out tomcat_server.crt -cert ca.crt -keyfile ca.key -notext -config openssl.cnf

  其中-notext表示不要把证书文件的明文内容输出到文件中去,否则在后面用keytool导入到keystore时会出错。

4)导入信任的CA根证书到keystore

   keytool -import -v -trustcacerts  -alias my_ca_root -file ca.crt -storepass 123456 -keystore server_keystore

5)CA签名后的server端证书导入keystore

keytool -import -v -alias tomcat_server -file tomcat_server.crt -storepass 123456 -keystore server_keystore

6)查看server端证书

   keytool -list -v -keystore server_keystore 

可以看到tomcat_server的证书链长度是2

 

生成client端证书

1)生成客户端CSR

   openssl genrsa -des3 -out tomcat_client.key 1024

openssl req -new -key tomcat_client.key -out tomcat_client.csr -config openssl.cnf

2)CA私钥进行签名,也可以到权威机构申请CA签名

openssl ca -in tomcat_client.csr -out tomcat_client.crt -cert ca.crt -keyfile ca.key -notext -config openssl.cnf

3)生成PKCS12格式证书

openssl pkcs12 -export -inkey tomcat_client.key -in tomcat_client.crt -out  tomcat_client.p12

4)使用Keytool列出pkcs12证书的内容:

   keytool -rfc -list -keystore tomcat_client.p12 -storetype pkcs12

 

--------------------------------

keytool可以导出.p12后缀名的个人证书吗?

好像不行,keytool产生的证书是JKS编码的

除了keytool,还有很多方法可以完成对keystore里面证书的操作!

比如

1、用KeyTool结合pkeytool导出私钥和证书,然后用openssl将私钥和证书合并成p12格式,具体命令请参考pkeytoolopenssl帮助

2、图形工具portecle,直接导出p12格式

3KeyTool GUI 1.6,图形界面

4keystore explorer,需要付费

etc.

 

--------------------------------------------

如何用TomcatOpenssl构建HTTPS双向认证环境(HTTPS客户端认证)

 

文章出处:http://www.diybl.com/course/4_webprogram/jsp/jsp_js/200855/113649.html

 

--------------------------------------------

[OpenSSL示例]HTTPS中间人攻击

http://hi.baidu.com/52hack/blog/item/b27f52af5d3881f3fbed50d9.html

 

asi12lanxin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat6配置使用SSL双向认证使用openssl生成证书)
星星的技术专栏
08-21 8394
一:生成CA证书目前不使用第三方权威机构的CA来认证,自己充当CA的角色。 网上下载一个openssl软件1. 创建私钥 :C:/OpenSSL/bin>openssl genrsa -out ca/ca-key.pem 1024 2.创建证书请求 :C:/OpenSSL/bin>openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem -----Country Name (2 letter code) [AU]:cnState or Province N
tomcat6 配置HTTPS
ALONEWOLF2009的博客
06-13 2290
JDK 版本对TLS的支持情况:腾讯云证书配置:https://cloud.tencent.com/document/product/400/6973阿里云证书配置:安装证书Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一。文件说明:1. 证书文件1530207333171.pem,包含两段内容,请不要删除任何一段内容。2. 如果是证书系统创建的CSR...
Tomcat6配置SSL的方法
在JAVA的世界中“乘风破浪”
01-14 4174
因为做项目测试的时候,用到了https,所以现在需要在tomcat配置SSLtomcat6配置双向认证 1、生成服务器端证书 keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 36502、生成客户端证书 keyt
Tomcat6.0 SSL配置
冰叶纷飞的博客
05-25 515
1. 参考: Tomcat 6.0 自带的文档docs/ssl-howto.html,详细介绍了配置过程。 2. 目的:        以下详细描述配置过程,仅作为备忘录。 3. 备忘录: Step1,安装tomcat 6.0.18,此为当前最新版本,需JDK5.0或以上。 l         JDK安装后,可以在命令行下使用如下命令检测
Tomcat配置SSL
崔成龙 . 勇往直前
11-03 9694
本篇博文不讲概念,只介绍如何在Tomcat配置SSL,以支持Https协议。如果图中与正文描述不符,以正文为主,部分图片是借鉴的。 一、创建证书        证书是单点登录认证系统中很重要的一把钥匙,客户端于服务器的交互安全靠的就是证书;这里由于是演示,所以就自己用JDK自带的keytool工具生成证书;如果以后真正在产品环境中使用肯定要去证书提供商去购买,证书认证
tomcat配置SSL双向认证
yuanxuegui2008的专栏
10-04 1147
1、为服务器生成自签名证书 使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件存放在当前目录的tomcat-ssl.keystore文件里,口令为“tomcat”,使用如下命令生成自签名证书并存储于tomcat-ssl.keystore密钥库文件: keytool -genkey -v -alias tomcat -keyalg RSA
Tomcat配置SSL双向认证
03-23
### Tomcat配置SSL双向认证详解 #### 一、SSL双向认证概述 SSL(Secure Sockets Layer,安全套接层)是一种用于确保Web通信安全的技术,它通过加密数据传输来保护信息不被未授权访问。SSL协议的核心是实现客户端与...
基于Tomcat搭建SSL双向认证示例【100012422】
05-24
在IT行业中,安全通信是至关重要的,特别是...通过上述步骤,你可以在Tomcat上实现一个完整的SSL双向认证环境,并利用Java和Apache HttpClient进行安全的通信。这个过程对于理解网络安全和提高应用安全性具有重要意义。
利用keytools为tomcat 7配置ssl双向认证的方法
08-31
Tomcat 7配置SSL双向认证需要用到Java提供的Keytool工具,Keytool是一个用于管理和创建密钥库(keystore)的命令行工具,其中包含了密钥实体(私钥和公钥)和可信任的证书实体(公钥)。以下是配置SSL双向认证的步骤...
mybatis-plus项目中使用mybatis插件
z275598733的博客
07-25 306
正确的在mybatis-plus项目中使用mybatis插件,亲测没有问题
MybatisPlus的使用与详细讲解
weixin_62432037的博客
07-22 1277
我们可以利用MyBatisPlus的Wrapper来构建复杂的Where条件,然后自己定义SQL语句中剩下的部分。我们可以利用MyBatisPlus的Wrapper来构建复杂的Where条件,然后自己定义SQL语句中剩下的部分。基于Wrapper构建where条件// 1.构建条件// 2.自定义SQL方法调用在mapper方法参数中用Param注解声明wrapper变量名称,必须是ew自定义SQL,并使用Wrapper条件</update>
Tomcat 部署及优化
m0_71548847的博客
07-22 916
自 2017 年 11 月编程语言排行榜 Java 占比 13%,高居榜首,Tomcat 也一度成为 Java开发人员的首选。其开源、占用系统资源少、跨平台等特性深受广大程序员喜爱。本章主要学习如何部署 Tomcat 服务,根据生产环境实现多个虚拟主机的配置,最后的重点是进行压测,根据压测结果如何优化 Tomcat 服务及常见的内存溢出如何处理。
openssl 加密
jnrjian的博客
07-23 402
使用tar命令在Linux中加密文件可以通过两种方式实现:使用gzip压缩的同时加密,或者使用加密选项。– openssl enc -e -aes256:使用AES 256位加密算法对输入的数据进行加密。– archive.tar.gz.enc:加密后的输出文件名。– archive.tar.gz.enc:要解密的文件名。– -f archive.tar.gz:指定输出文件名。– -f archive.tar.gz:要解密的文件名。– xz:解压缩tar文件,同时解密加密的文件。
SSL vpn远程接入防火墙共享型配置实验
earthtoearth的博客
07-25 1259
来自 10.1.121.10 的回复: 字节=32 时间=6ms TTL=255。来自 10.1.121.10 的回复: 字节=32 时间=8ms TTL=255。来自 155.1.2.100 的回复: 字节=32 时间=9ms TTL=255。来自 150.1.1.1 的回复: 字节=32 时间=12ms TTL=255。来自 150.1.1.1 的回复: 字节=32 时间=14ms TTL=255。(二)FW1地址和区域配置需区分根系统、虚拟系统OA和虚拟系统RD。3、切换到虚拟系统OA。
SSL/TLS和SSL VPN
Thewei666的博客
07-24 912
在TCP三次握手建立网络连接后,客户端向服务器发送Client Hello与服务器协商参数,服务端回复Server Hello确认参数并发送证书。客户端验证服务器证书,生成并使用服务器公钥加密发送预主密钥。服务器解密预主密钥并生成会话密钥,使用会话密钥进行数据传输。
openssl req 详解
qq_41768644的博客
07-24 1112
openssl req详解
守望先锋资讯小程序(源码).zip
最新发布
07-28
守望先锋资讯小程序(源码).zip
tomcat ssl双向认证
07-29
要实现Tomcat SSL双向认证,首先需要在Tomcat服务器上配置SSL连接。在服务器端,需要生成或购买一个有效的服务器SSL证书,并将其配置TomcatSSL Connector中。这样,服务器就可以使用该证书来进行加密和解密操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值