导读
获取安全证书有两种方式:
1 从权威机构购买证书——这种方式既可以加密通信,还可以证明身份。
2 自签名证书——自己给自己颁发证书。这种方式不能证明身份,但可以加密通信。
本文将只讨论自签名证书。
1. 准备自签名证书
- JDK/JRE中都会自带一个小工具
E:\tmp>where keytool
E:\java\jdk1.8.0_202\bin\keytool.exe
E:\java\jdk1.8.0_202\jre\bin\keytool.exe
- 通过keytool生成自签名证书
E:\tmp>keytool -genkey -v -alias MyCert -keyalg RSA -storetype PKCS12 -validity 31 -keystore ./mycert.keystore
输入密钥库口令:
再次输入新口令:
您的名字与姓氏是什么?
[Unknown]: Mufasa
您的组织单位名称是什么?
[Unknown]: Simba
您的组织名称是什么?
[Unknown]: lions
您所在的城市或区域名称是什么?
[Unknown]: Africa
您所在的省/市/自治区名称是什么?
[Unknown]: pipu
该单位的双字母国家/地区代码是什么?
[Unknown]: AF
CN=Mufasa, OU=Simba, O=lions, L=Africa, ST=pipu, C=AF是否正确?
[否]: y
正在为以下对象生成 2,048 位RSA密钥对和自签名证书 (SHA256withRSA) (有效期为 31 天):
CN=Mufasa, OU=Simba, O=lions, L=Africa, ST=pipu, C=AF
[正在存储./mycert.keystore]
看一下
E:\tmp>keytool -list -v -alias MyCert -keystore mycert.keystore -storetype PKCS12
输入密钥库口令:
别名: MyCert
创建日期: 2020-2-6
条目类型: PrivateKeyEntry
证书链长度: 1
证书[1]:
所有者: CN=Mufasa, OU=Simba, O=lions, L=Africa, ST=pipu, C=AF
发布者: CN=Mufasa, OU=Simba, O=lions, L=Africa, ST=pipu, C=AF
序列号: 6ba7d19
有效期为 Thu Feb 06 16:08:55 CST 2020 至 Sun Mar 08 16:08:55 CST 2020
证书指纹:
MD5: 8E:23:10:13:46:27:B6:66:54:9C:61:03:DF:E4:2E:FB
SHA1: 32:8E:D2:CE:10:F5:9B:F1:07:11:B9:1A:69:3A:84:C9:4D:A1:6A:FC
SHA256: D6:B4:5E:14:51:A3:9A:02:02:1E:D9:45:AA:3F:98:F2:F7:E0:C4:6F:8E:28:82:C3:94:EB:66:9B:46:DF:A1:4F
签名算法名称: SHA256withRSA
主体公共密钥算法: 2048 位 RSA 密钥
版本: 3
扩展:
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 54 B9 EC 23 5E 55 BC 45 78 74 F3 35 68 B4 FA 95 T..#^U.Ext.5h...
0010: A7 68 D2 3A .h.:
]
]
2. 配置SSL/TLS连接器
配置文件
或者这里(Eclipse中)
将server.xml中的如下部分去掉注释并修改:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="E:/tmp/mycert.keystore"
keystorePass="密钥库口令"
/>
keystoreFile属性可以使用绝对路径或者相对于<TOMCAT_HOME>的相对路径。
3. 进行测试
- 重启Tomcat并访问地址 https://localhost:8443/books/
继续前往即可。
4. 配置http到https的强制跳转
- 在server.xml中配置http的连接器跳转端口:
<Connector connectionTimeout="20000"
port="8080" protocol="HTTP/1.1"
redirectPort="8443"/>
- 配置web.xml
在WEB-INF/web.xml中
在根节点<web-app>里加入如下内容:
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>