Tomcat证书配置(ssl,客户端认证,内网证书)

最新推荐文章于 2024-05-18 13:56:01 发布
最新推荐文章于 2024-05-18 13:56:01 发布
阅读量1.7k 收藏
点赞数
分类专栏: Tomcat
场景说明:

 tomcat 客户端证书认证 + 指定证书用户。 如内网证书验证(某些人员才有权限)

 

证书生成和双向证书配置这块网上资料很多,也很详细,大家可以 百度一下

1. 证书生成

服务端证书如果公司有购买的可以直接配置(天威诚信的官网有操作说明),如果没有可以自己生成(不过浏览器每次会弹出提示)。

客户端根证书,一般如果是内网根证书为 xxx.cer 文件。 可以直接和服务端证书导入到一起:

keytool -import -v -file intranet-root-cert.crt.cer -keystore ivan.keystore -storepass mypassword

2. 双向证书配置

打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下:<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"               maxThreads="150" scheme="https" secure="true"               clientAuth="true" sslProtocol="TLS"               keystoreFile="d:/tomcat.keystore" keystorePass="password"               truststoreFile="d:/tomcat.keystore" truststorePass="password" />

Tomcat配置

 打开Tomcat根目录下的/conf/server.xml,找到如下配置段(一般都被注释了,自己添加一下):

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="true" sslProtocol="TLS"

               keystoreFile="d:/ivan.keystore" keystorePass="password"

               truststoreFile="d:/ivan.keystore" truststorePass="password" />

简单说明下:

clientAuth:是否需要验证客户端证书。

keystoreFile:服务端证书位置,keystorePass:密码

truststoreFile:客户端根证书位置(一般和服务端证书导入到一起),truststorePass:密码

我在windows测试的时候遇到一个错误,将protocol替换一下:protocol="org.apache.coyote.http11.Http11NioProtocol" 

应用配置web.xml

<!--AuthorizationsettingforSSL-->

<auth-method>CLIENT-CERT</auth-method>

<realm-name>ClientCertUsers-onlyArea</realm-name>

<security-constraint>

<!--AuthorizationsettingforSSL-->

<web-resource-collection>

<web-resource-name>SSL</web-resource-name>

<url-pattern>/*</url-pattern>

</web-resource-collection>

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

</security-constraint>

 

配置好了,启动Tomcat,可以测试一下,双向证书基本配置ok。

 

3. 高级应用

网上基本上也就是上面的情况,但是不能实现我们的用户白名单。

其实这块如果对tomcat比较熟悉的话,应该很容易处理,只是个人基本上不用tomcat,所以比较费时,这里简单整理一下,方便大家使用。

应用配置web.xml(加入角色控制)增加(如果有,修改):

<!--AuthorizationsettingforSSL-->

<security-constraint>

<!--AuthorizationsettingforSSL-->

<web-resource-collection>

<web-resource-name>SSL</web-resource-name>

<web-resource-name>Admin resources</web-resource-name>

<!--这里是针对部分目录-->

<url-pattern>/interface_view.htm</url-pattern>

<url-pattern>/add_question.htm</url-pattern>

<url-pattern>/archiving.htm</url-pattern>

<url-pattern>/archiving_edit.htm</url-pattern>

<url-pattern>/view_event.htm</url-pattern>

<url-pattern>/security_event.htm</url-pattern>

<url-pattern>/report.htm</url-pattern>

<url-pattern>/month_report.htm</url-pattern>

<url-pattern>/color_handle.htm</url-pattern> 

<url-pattern>/sec_tools_week_report.htm</url-pattern>

<url-pattern>/basicsetting/*</url-pattern>

<url-pattern>/setting/*</url-pattern>   

 </web-resource-collection>

<!--case1-->

       <auth-constraint>

           <description>This applies only to the "tomcat" security role</description>

           <role-name>admin</role-name>

       </auth-constraint>

 

<user-data-constraint>

<transport-guarantee>CONFIDENTIAL</transport-guarantee>

</user-data-constraint>

</security-constraint>

  

<login-config>

<auth-method>CLIENT-CERT</auth-method>

<realm-name>ClientCertUsers-onlyArea</realm-name>

</login-config>

<!--case2-->

   <security-role>

       <role-name>admin</role-name>

   </security-role>

注意一下上面的2个case。

 

Tomcat配置conf/tomcat-user.xml

  <role rolename="manager"/>

  <role rolename="admin"/>

  <role rolename="user"/>

  <user username="EMAILADDRESS=a@xxx.com, CN=xx, OU=Corp, O=xx, L=xx, ST=xx, C=CN" password="null" roles="admin"/>

  <user username="EMAILADDRESS=b@xxx.com, CN=xx, OU=Corp, O=xx, L=xx, ST=xx, C=CN" password="null" roles="admin"/>

  <user username="EMAILADDRESS=c@xxx.com, CN=xx, OU=Corp, O=xx, L=xx, ST=xx, C=CN" password="null" roles="admin"/> 
使用admin的角色。

其中    <user username="EMAILADDRESS=a@xxx.com, CN=xx, OU=Corp, O=xx, L=xx, ST=xx, C=CN" password="null" roles="admin"/> 就相当于用户的白名单,我们只需要维护这个就行。

其他用户,是不能访问我们应用的指定目录的。

当然,有些人会问,   <user username   肿么获取,其实就是内网证书,这里放一个jsp,想要添加的用户访问一下这个jsp就知道自己的证书信息了:

<%@ page import="java.security.cert.X509Certificate"%>

<%

//response.sendRedirect("jsp/vpay/input.jsp");

String certSubject = null;

java.security.cert.X509Certificate[] certChain=

(java.security.cert.X509Certificate[])

request.getAttribute("javax.servlet.request.X509Certificate");

if (null!=certChain){

int len=certChain.length;

if (len>0){

java.security.cert.X509Certificate cert =

(java.security.cert.X509Certificate)certChain[0];

java.security.Principal pSubject = cert.getSubjectDN();

certSubject = pSubject.getName();

}

}

%>

Subject = <%=certSubject%>
Stephen@Tang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat配置ssl证书(.jks)实现HTTPS
JuncaiLiao的专栏
01-06 1333
环境: Tomcat7、CentOS 6/7 摘要说明: 本篇文章主要讲述如何给Tomcat服务器使用.jks证书配置https协议 步骤: 1.生成.jks证书 根据ssl证书生成.jks证书,网络上有在线生成工具如: 链接1 链接2 2.配置.jks证书tomcat的server.xml中直接配置443端口: <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"
tomcat配置ssl证书
F_wenwen的博客
02-03 3347
tomcat配置ssl证书 1. 步骤一:下载证书 下载证书参考以下链接: https://support.huaweicloud.com/usermanual-scm/scm_01_0027.html 在Tomcat服务器上安装SSL证书的流程如下所示: ①获取文件 → ②创建目录 → ③修改配置文件 → ④重启Tomcat → ⑤效果验证 1.在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“IIS”、“Nginx”、“Tomcat”4个文件夹和1个“domain.csr”文件 从“T
Tomcat--单向https与双向https的配置
zdh9378的专栏
11-24 852
tomcat6配置:  1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源  2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址  如果只是加密,我感觉单向就行了。  如果想要用系统的人没有证书就访问不了系统的话,就采用双向  单向配置:  第一步:为服务器生成证书  使用keytool 为 Tomcat 生成证书,假定目标机器的域名
配置Tomcat使用https协议(SpringMVC配置SSL协议)
江南雨
10-23 9125
  一、生成安全证书 二、配置tomcat 服务器 1、个人环境: jdk 1.8  tomcat 7 2、生成安全证书:在jdk的安装目录下的 D:\Program Files (x86)\Java\jdk1.8.0_131\bin 目录下有keytool.exe     这个就是sun(oracle)公司提供的生成安全证书的工具 3、创建证书的命令: keytool -genkey...
客户端验证 证书解析
最新发布
m0_66993332的博客
05-18 921
关于数字证书和CA机构的一些介绍和个人理解
tomcat 配置https + 数字证书认证
蜗牛天堂
01-16 449
生成服务端证书 keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456 客户端证书 keytool -genkey -alias client -keypass 123456 -k...
web.xml中<security-constraint>和四种认证类型
01-17 1383
的子元素 是可选的,如果没有 元素,这表示将禁止所有 HTTP 方法访问相应的资源。  子元素 需要和 相配合使用,但可以被单独使用。如果没有 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 中没有 子元素的话,配置实际上是不起中用的。如果加入了 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。  web.xml:  Xml代
Tomcat配置 https SSL证书
IT小多的博客
06-24 621
HTTP与HTTPS的区别:HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全,为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。简单来说,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。 小程序访问的域名配置必须是配置ssl证书的合法域名,现在阿里云上买了个域名,备案过了,也申请了免费的ssl
Tomcat配置SSL证书的方法
09-30
主要介绍了Tomcat配置SSL证书的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解如何给Tomcat配置Https/ssl证书
09-30
要为Tomcat配置SSL证书,我们需要先创建一个自签名的证书。这可以通过Java自带的keytool工具实现: 1. 打开命令行,输入以下命令来生成一个名为“localhost-rsa.jks”的Keystore文件,其中“tomcat”是别名,RSA是...
华为云ssl证书申请与tomcat配置
09-25
总的来说,正确配置华为云SSL证书并在Tomcat上应用,能有效提升网站的安全性,保障用户数据安全,并为用户提供一个可信的网络环境。同时,了解不同版本Tomcat配置差异有助于顺利实现SSL证书的部署。
nginx、tomcat安装免费ssl安全证书配置
10-25
在互联网世界中,HTTPS协议是确保...至此,我们已经成功地在Nginx和Tomcat配置了阿里云的免费SSL证书,实现了HTTPS访问。这不仅提升了网站的安全性,也提高了用户的信任度。注意定期更新证书,保持其有效性和安全性。
tomcat 配置域名和ssl证书
yhtppp的专栏
03-29 3936
tomcat配置域名和ssl证书,记录一下; 环境: 阿里云ECS CentOS 6.9 GeoTrust DV 证书 tomcat 7.0.92 1、在阿里云 域名解析 控制台,配置域名DNS解析; 比如:二级域名为 test.com 主机记录:www ( 即为 www.test.com ) 记录值:绑定的IPV4地址 其他默认; 2、在阿里云 S...
如何在Tomcat中安装SSL证书
安全
09-17 2695
本快速指南将引导您了解正确安装 Tomcat SSL 的关键方面。首先,您将学习如何为 Tomcat 服务器生成 CSR 代码。其次,您将掌握如何在 Tomcat 中安装 SSL 证书。最后,您会发现一些 Tomcat 的历史,以及为您的 Tomcat 服务器购买 SSL 证书的最佳地点。 第一步在www.gworg.com申请到SSL证书里面包括jks证书证书密码。 在 Tomcat 中安装 SSL 证书 准备您的 SSL 证书文件。根据您的证书颁发机构,您的 SSL 文件可能采用PKCS#7格式
如何配置tomcat证书
jellcy的专栏
12-27 1584
如何配置tomcat证书 文章分类:Java编程引用项目需要在tomcat配置ssl认证,学习了一下怎么配置,由于对pki认证体系、证书的制作和发放过程不了解,整个配置过程坎坷,所以配置成功后立即记录下来希望以后遇到类似的情况有所参考。 本文讲述了如何使用 openssl 制作证书、keytool生成证书申请并将证书导入证书库、如何配置tomcat,和配置当中出现问题的解释。     本文用到的工具:OpenSSL.rar(在附件下载)  keytool(JDK中自带的工具) 使用 openssl 生成根
tomcat9使用crt格式证书配置HTTPS
懒人日记-不喜欢写文章
03-29 6555
tomcat配置https,可以使用jks证书文件,也可以使用pem(crt,key)文件。该部分内容是指导使用crt+key文件配置https
Tomcat 配置 https
深空深蓝的博客
05-05 2029
使用 keytool 生成证书 准备工作: 服务器安装 tomcat, jdk 配置好jdk的环境变量 生成服务器证书 read -p "Enter your domain [www.example.com]: " DOMAIN keytool -genkey -v \ -alias $DOMAIN \ -keyalg RSA \ -storetype PKCS12 \ -ext SAN...
tomcat 证书
珍惜
02-27 753
第一步:为服务器生成证书 1、进入%JAVA_HOME%/bin目录 2、使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件存放在“D:\tomcat.keystore”,口令为“password”,使用如下命令生成:   keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\t...
Tomcat启用https
//Case
10-24 498
1.生成keystorekeytool -genkey -alias casserver -keypass 123456 -keyalg RSA -keystore test.keystore -validity 3652.生成服务器证书keytool -export -alias casserver -storepass 123456 -file casserver.cer -keystore t
tomcat如何配置ssl证书
09-24
Tomcat配置SSL证书可以按照以下步骤进行操作: 1. 打开Tomcat服务器的安装目录,找到其中的“server.xml”文件。 2. 在“server.xml”文件中找到以下参数:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值