Tomcat 自定义签名证书生成与部署

最新推荐文章于 2021-10-20 16:44:47 发布
最新推荐文章于 2021-10-20 16:44:47 发布
阅读量309 收藏
点赞数
分类专栏: Tomcat
原文链接:https://my.oschina.net/ososchina/blog/500973?p=1
版权

1.SSL单向认证

1.关于JKS证书

生成CA签名证书keystore

keytool -genkey -alias twt_server -keyalg RSA -keystore twt_server.jks -validity 3600 -storepass 123456

您的名字与姓氏是什么?  [Unknown]:  

您的组织单位名称是什么?  [Unknown]:  itian

您的组织名称是什么?  [Unknown]:  itian

您所在的城市或区域名称是什么?  [Unknown]:  北京

您所在的省/市/自治区名称是什么?  [Unknown]:  海淀

该单位的双字母国家/地区代码是什么?  [Unknown]:  cn

CN=zhang, OU=zhang, O=zhang, L=xian, ST=shanxi, C=cn是否正确?  [否]:  y

输入 <zhy_server> 的密钥口令    (如果和密钥库口令相同, 按回车):  

然后生成cer证书

keytool -export -alias twt_server  -file twt_server.cer -keystore twt_server.jks -storepass 123456
 

然后部署

<Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
	    disableUploadTimeout="true" 
	    enableLookups="true" 
	    keystoreFile="conf/CA/twt_server.jks" 
	    keystorePass="123456" 
	    maxSpareThreads="75" 
	    maxThreads="200" 
	    minSpareThreads="5" 
	    port="443" 
	    protocol="org.apache.coyote.http11.Http11NioProtocol" 
	    scheme="https" 
	    secure="true" 
	    sslProtocol="TLSv1.2"
	    />

或者我们新增一个新的服务

<Service name="MySSLService">

<Executor name="MySSLServiceTomcatThreadPool" namePrefix="MySSLService-exec-" maxThreads="200" minSpareThreads="4"/>


<Connector  
					connectionTimeout="20000" 
					port="443"
					redirectPort="8443"
					maxPostSize="2048"  #post请求最大数量,这里是2M,如果是0,则没有限制
					maxThreads="200"
					executor="MySSLServiceTomcatThreadPool"  #使用连接池
					protocol="org.apache.coyote.http11.Http11NioProtocol"
					scheme="https" 
					secure="true" 
					SSLEnabled="true"
					keystoreType="JKS" #证书类型
					keystoreFile="conf/CA/twt_server.jks"
					keystorePass="123456"
					clientAuth="false" 
					sslProtocol="TLSv1.2"
					/>
	
<Connector port="9009" protocol="AJP/1.3" redirectPort="8443" executor="MySSLServiceTomcatThreadPool" />


<Engine defaultHost="localhost" name="MySSLServiceEngine">
	

<Realm className="org.apache.catalina.realm.LockOutRealm">
       	 	<Realm className="org.apache.catalina.realm.UserDatabaseRealm" resourceName="UserDatabase"/>

</Realm>
		

<Host appBase="webapps" autoDeploy="true" name="localhost" unpackWARs="true">
			<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" pattern="%h %l %u %t &quot;%r&quot; %s %b" prefix="ssl_access_log" suffix=".txt"/>

</Host>


</Engine>

</Service>

这样访问,通过相应的url,如‍‍‍‍https就能访问了.

 

2.关于部署PKCS12证书

这里还有个问题,我们生成的证书实际上是JKS类型的证书,如果我们使用PKCS12证书如何部署呢,PKCS12是互联网标准,如果使用PKCS12,那么java可以更好地与其他语言通信。

JKS与PKCS12互相导入

p12(pfx) -> jks

keytool -importkeystore -srckeystore keystore.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore keystore.jks

jks -> p12(pfx)

keytool -importkeystore -srckeystore keystore.jks -srcstoretype JKS
-deststoretype PKCS12 -destkeystore keystore.p12

从jks里面导出cert

keytool -export -alias cert0001 -keystore trust.jks -storepass 123456 -file cert0001.cer

将cert导入jks

keytool -import -v -alias cert001 -file cert001.cer -keystore trust.jks -storepass 123456 -noprompt

那么,我们可以配置如下

<Connector
           protocol="org.apache.coyote.http11.Http11NioProtocol"
           port="8443" maxThreads="200"
           scheme="https"  #使用https协议
           secure="true" #使用安全链接 
           SSLEnabled="true"
           keystoreFile="conf/CA/keystore.p12"  #指定PKCS12 keystore的位置
           keystoreType="PKCS12"  #证书类型修改为PKCS12即可
           keystorePass="123456" 
           clientAuth="false"    #不去校验客户端
           sslProtocol="TLS"/>

 

2.关于APR部署CA证书

APR可以提升Tomcat性能,那么APR的Connector如何配置SSL呢

<Connector      
                protocol="HTTP/1.1" 
                port="443" 
                 maxHttpHeaderSize="8192"
                 maxThreads="150"
                 enableLookups="false" 
                 disableUploadTimeout="true"
                 acceptCount="100" 
                 scheme="https" 
                 secure="true"
                 SSLEnabled="true"
                 SSLCertificateFile="conf/CA/rsa-private-key.pem"
                 SSLCertificateKeyFile="conf/CA/self-signed-cert.crt" />

注意,APR的CA证书需要通过openSSL生成

openssl genrsa -out rsa-private-key.pem 1024
openssl req -new -x509 -nodes -sha1 -days 365 -key rsa-private-key.pem -out self-signed-cert.crt

 

2.SSL双向认证

1.生成服务器证书库(为了测试,我把有效期改为1天)

keytool -genkey -alias ca_server -keyalg RSA -keystore ca_server.jks -validity 1 -storepass 123456

注意:第一项提示姓名与姓氏时请输入你的 域名

1.生成客户端证书库(为了测试,我把有效期改为1天)

keytool -genkey -alias ca_client -keyalg RSA  -storetype PKCS12 -keystore ca_client.pfx -validity 1 -storepass 123456

客户端(客户端需要使用PKCS12的密钥,因此这里我们生成pfx密钥证书)

2.将客户端证书部分添加到服务端证书库(让服务器信任客户端

2.1.pkcs12不能直接导入服务器证书库,需要导出cer证书,将证书导入到证书库中

keytool -export -alias ca_client -keystore ca_client.pfx -storetype PKCS12 -storepass 123456  -rfc -file ca_client.cer

2.2然后将证书导入到服务端证书库中

keytool -import -v  -alias ca_client -file  ca_client.cer -keystore ca_server.jks

 

3.配置Connector

在这里,我们为了让服务端证书库和认证库不要使用同一个keystore,我们把ca_server.jks复制一份起名为ca_trust.jks

此时配置修改如下

<Connector SSLEnabled="true" 
        acceptCount="100" 
	    disableUploadTimeout="true" 
	    enableLookups="true" 
	    maxSpareThreads="75" 
	    maxThreads="200" 
	    minSpareThreads="5" 
	    port="8848" 
	    protocol="org.apache.coyote.http11.Http11NioProtocol" 
	    scheme="https" 
	    secure="true" 
        clientAuth="true"  #设置为true,否则不回去验证客户端
	    sslProtocol="TLSv1.2"
	    clientAuth="true"
        keystoreType="JKS"
        keystoreFile="conf/auth/ca_server.jks" 
	    keystorePass="123456" 
        truststoreType="JKS"
        truststoreFile="conf/auth/ca_trust.jks" 
        truststorePass="123456"
	    />

 

4.使用浏览器访问出现限制

然后我们启动Tomcat,使用浏览器访问,发现不能访问。说明我们的设置已经生效了,那么想让浏览器能访问该如何做呢?

首先,我们需要安装我们的pfx证书,双击安装,存储区域位置请选择【个人】,否则浏览器依然无法访问!

然后我们访问浏览器,就会出现证书选择提示,选择确定,便能浏览网页了。

5.Android双向认证

双向认证,以Android为例子,Android支持PKCS12,BKS,AndroidCAStore,AndroidKeyStore

NameSupported (API Levels)
AndroidCAStore14+(推荐)
AndroidKeyStore18+ (推荐)
BCPKCS121–8 (不建议考虑)
BKS1+ 
BouncyCastle1+ 
PKCS121+ (推荐,PKCS12是互联网标准)
PKCS12-DEF1–8(不建议考虑)

我们这里用网上的代码,BKS做例子,当然,pkcs12可以参考 android https通过加载pfx证书获取数据

public void setCertificates(InputStream... certificates)
{    try
    {
        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        keyStore.load(null);        int index = 0;        for (InputStream certificate : certificates)
        {
            String certificateAlias = Integer.toString(index++);
            keyStore.setCertificateEntry(certificateAlias, certificateFactory.generateCertificate(certificate));            try
            {                if (certificate != null)
                    certificate.close();
            } catch (IOException e)
            {
            }
        }

        SSLContext sslContext = SSLContext.getInstance("TLS");
        TrustManagerFactory trustManagerFactory = TrustManagerFactory.
                getInstance(TrustManagerFactory.getDefaultAlgorithm());
        trustManagerFactory.init(keyStore);        //初始化keystore
        KeyStore clientKeyStore = KeyStore.getInstance(KeyStore.getDefaultType());
        clientKeyStore.load(mContext.getAssets().open("ca_client.bks"), "123456".toCharArray());

        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        keyManagerFactory.init(clientKeyStore, "123456".toCharArray());

        sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());
        
       HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory());
                     
        HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() {
        
        @Override
        public boolean verify(String hostname, SSLSession sslsession) {
       
        if("localhost".equals(hostname)){  
            return true;  
        } else {  
            return false;  
        }  
      }
  });

    } catch (Exception e)
    {
        e.printStackTrace();
    } 

}

读取cer证书

CertificateFactory certificatefactory = CertificateFactory
				.getInstance("X.509");
		FileInputStream bais = new FileInputStream("srca.cer");
		X509Certificate Cert = (X509Certificate) certificatefactory
				.generateCertificate(bais);
		bais.close();
		System.out.println("版本号 " + Cert.getVersion());
		System.out.println("序列号 " + Cert.getSerialNumber().toString(16));
		System.out.println("全名 " + Cert.getSubjectDN());
		System.out.println("签发者全名n" + Cert.getIssuerDN());
		System.out.println("有效期起始日 " + Cert.getNotBefore());
		System.out.println("有效期截至日 " + Cert.getNotAfter());
		System.out.println("签名算法 " + Cert.getSigAlgName());
		byte[] sig = Cert.getSignature();
		System.out.println("签名:" + new BigInteger(sig).toString(16));
		PublicKey pk = Cert.getPublicKey();
		System.out.println("PublicKey:"
		+ Base64.getEncoder().encodeToString(pk.getEncoded()));

如果从密钥库读取

 String pass="080302";
 
          String alias="mykey";
 
          String name=".keystore";
 
          FileInputStream in=new FileInputStream(name);
 
          KeyStore ks=KeyStore.getInstance("JKS");           
 
          ks.load(in,pass.toCharArray());
 
          Certificate c=ks.getCertificate(alias);
 
          in.close();
 
         System.out.println(c.toString( ));

转载自:https://my.oschina.net/ososchina/blog/500973?p=1

蓝色北极熊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcat-encrypt-datasouce
06-03
8. **自定义Tomcat Realm**: Tomcat的Realm组件负责认证和授权。项目可能扩展了Realm,以便在验证用户身份时处理加密的凭证。 9. **部署和测试**: 项目可能提供了部署指南,包括如何在不同环境下设置加密数据源,...
【SSL】使用Keytool工具生成证书签名完整步骤
热门推荐
sayyy的专栏
10-26 3万+
使用Keytool工具生成证书签名完整步骤 创建证书库(keystore)及证书(Certificate) 生成证书签名请求(CSR) 将已签名证书导入证书库 下面以为”www.mydomain.com“域名制作数字证书为例进行操作。 创建证书库(keystore)及证书(Certificate) 命令如下: keytool -genkeypair / -...
android应用程序签名问题
xiaotian15的专栏
01-24 1632
一、签名代码 (首先配置好jdk的路径,keytool和jarsigner都是java的类库) 1.生成签名文件 keytool -genkey -alias MyFirstApp.keystore -keyalg RSA -validity 40000 -keystore MyFirstApp.keystore 2.应用签名文件给文件签名 jarsigner -verbose -k
keytool错误 java,keytool错误:java.lang.Exception:答复和密钥库中的公共密钥不匹配
weixin_34768019的博客
02-24 1868
I have this problem when I import a certification file into keystore:keytool error: java.lang.Exception: Public keys in reply and keystore don't matchI do this this operation:1) create my keystore on ...
创建HTTPS安全证书
最新发布
10-25
4. **部署证书**:将生成证书和私钥部署到服务器上,配置相应的Web服务器(如Apache、Nginx或Tomcat)以使用这些证书。 在Java中调用HTTPS连接,需要将证书导入到Java的信任库(Keystore)。Java Keystore(JKS)...
WORD电子签名插件V1.2
10-18
不需要专门的图章服务器,可以使用任意的WEB服务提供程序,如IIS,tomcat等,将软件包中的web目录部署(白话:拷贝)到WEB的某个目录(tomcat中,考到某个上下文)就可以了。  然后在“网络图章”对话框中,输入...
cas-server-4.0.0-release部署
12-28
你可以将其部署到支持Servlet 3.0或更高版本的Web服务器,如Tomcat、Jetty等。配置文件通常位于`WEB-INF/classes`目录下的`cas.properties`。 4. **配置项**:`cas.properties`包含了CAS Server的诸多配置选项,...
自定义标签和自定义jstl函数的具体项目实现
06-30
根据所使用的Web服务器(如Tomcat、Jetty等),配置相应的部署设置,确保项目能被正确加载。 4. **编写和测试JSP页面**: 创建JSP页面,按照上述方式使用自定义标签和JSTL函数,运行项目并验证功能是否正常。 ...
keytool error: java.lang.Exception: Input not an X.509 certificate
夏诗鸢的博客
03-04 3824
在使用keytool时出现此错误,本机出现此错误的原因是:使用了openjdk,而此工具需要使用oracle自带的jdk。 1、查看当前机器使用的jdk: rpm -qa | grep jdk 本机查询到的结果是:openjdk 2、使用yum remove 卸载当前已安装的openjdk。 3、在oracle官网下载linux系统适用的jdk。 4、在本机配置环境变量:vim /e...
Java keytool 错误: java.lang.Exception: 未生成密钥对, 别名 <xxx> 已经存在
旭东怪的博客
10-20 5195
问题描述: keytool 错误: java.lang.Exception: 未生成密钥对, 别名 <merlion> 已经存在 问题分析: 1、生成merlion.jks文件是秘钥不对导致未生成密钥对。 解决办法: 删除当前目录下的merlion.jks文件,重新生成。 ...
keytool错误 java_的keytool错误:java.lang.Exception的:无法解析输入
weixin_31832681的博客
02-24 1359
这个问题可能是重复的,但我不能够得到解决, 我试图创建SSL证书与下面的命令,的keytool错误:java.lang.Exception的:无法解析输入C:\Program Files\Java\jdk1.6.0_05\bin>keytool -genkey -alias tomcat -keyalg RSA-keystore E:\keyEnter keystore password:R...
签名算法
Dream it Possible
10-21 4954
【需求】    最近在公司做的微信支付和给其他系统提供接口中,都用到了签名算法,顾名思义,在接口的调用中,我们可以通过对接收的参数生成签名,从而判断传的签名与接口中通过算法得到的签名是否一致来保证数据的安全性。【简述】    这两次接触都是通过MD5算法实现的,通用步骤一般都是:    第一步:设所有发送或者接收到的数据为集合M,将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序)
keytool 错误: java.lang.Exception: 密钥库文件不存在:
a1063560406的博客
11-10 1万+
解决方法:a  保证1的路径下有keytool.exe   b  保证1的路径下有 daohang.jks,没有的话就复制过来,这个是签名文件   c  回车输入你设置的签名文件密码就ok了。获得的是你发布版sha1   d  要想获得开发版sha1 把daohang.jks改成debug.keystore(同样确保debug.keystore 要在1的目录下,没有的话复制过来,找不
百度地图调用 keytool 错误:java.lang.Exception: 密钥库文件不存在、getLocType 167(4.9E-324)错误
keep_up_day_day的博客
05-29 1835
百度地图调用中遇到的坑1. keytool 错误:java.lang.Exception: 密钥库文件不存在2.getLocType:167 错误3.getAddress 为 null4.定位成功(经纬度获取正确)地图却没有显示正确的地址等问题 使用as学习百度地图调用中,我遇到了keytool 错误:java.lang.Exception: 密钥库文件不存在、getLocType 167错误、getAddress 为null 、定位成功(经纬度获取正确)地图却没有显示正确的地址等问题,下面介绍本人的解决办
Java密钥库及keytool使用详解
adrninistrat0r的博客
03-01 9798
1. JAVA密钥库 1.1. keytool执行方式简单分析 keytool工具说明见下文。 在Windows环境分析keytool工具执行方式如下: JDK与JRE的bin目录中存在keytool.exe程序,当执行keytool.exe时,keytool.exe会加载bin/java.dll、bin/client/jvm.dll、bin/server/jvm.dll、lib/rt.jar等,...
tomcat配置问题
weixin_44547429的博客
04-16 180
tomcat配置 1、新建变量名:CATALINA_HOME,变量值:D:\WorkSpaceByJava\DevtTools\Apache-Tomcat-8.0.23 2、打开PATH,添加变量值:%CATALINA_HOME%\lib;%CATALINA_HOME%\bin 将命令行转入到Tomcat安装Bin目录,例如:D:\WorkSpaceByJava\DevtTools\Apache-...
android中关于keytool 错误:java.lang.Exception:密钥库文件不存在: 解决步骤
ALazyPerson的博客
07-11 2万+
1.java.lang.Exception:密钥库文件不存在:密钥库 获取(高德,百度,腾讯)地图key时都要得到SHA1值,用cmd(或android studio的终端工具)命令获取SHA1值,出现如图异常: 看看系统用户下.android文件夹debug.keystore文件是否丢失,如果没有debug.keystore文件,看下文: 2.具体解决步骤 ①在终端工具输入或窗口运行...
使用openssl生成证书部署Tomcat
06-09
Tomcat部署使用自签名证书时,需要执行以下步骤: 1. 将私钥和证书合并成一个 PKCS12 格式文件 使用 OpenSSL 库可以将私钥和证书合并成一个 PKCS12 格式文件,可以通过以下命令: ``` openssl pkcs12 -...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值