keytool生成证书与Tomcat SSL配置

最新推荐文章于 2021-11-23 13:32:45 发布
最新推荐文章于 2021-11-23 13:32:45 发布
阅读量242 收藏
点赞数
Java 同时被 2 个专栏收录
86 篇文章 0 订阅
订阅专栏
安全
7 篇文章 0 订阅
订阅专栏

(http://my.oschina.net/cimu/blog/314023)


摘要 Keytool是一个Java数据证书的管理工具。Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里


一、Keytool介绍 

Keytool是一个Java数据证书的管理工具。Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里,包含两种数据:  

1.   密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)  

2.   可信任的证书实体(trusted certificate entries)——只包含公钥  

Alias(别名):每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写  

keystore的存储位置  

在没有制定生成位置的情况下,keystore会存在与用户的系统默认目录, 如:对于window xp系统,会生成在系统的C:/Documents and Settings/UserName/ 文件名为“.keystore”  

keystore的生成:keytool -genkey -alias tomcat -keyalg RSA   -keystore d:/mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 36500  

参数说明:  

-genkey表示要创建一个新的密钥  
-dname表示密钥的Distinguished Names,  
CN=commonName  
OU=organizationUnit  
O=organizationName  
L=localityName  
S=stateName  
C=country  
Distinguished Names表明了密钥的发行者身份  
-keyalg使用加密的算法,这里是RSA  
-alias密钥的别名  
-keypass私有密钥的密码,这里设置为changeit  
-keystore 密钥保存在D:盘目录下的mykeystore文件中  
-storepass 存取密码,这里设置为changeit,这个密码提供系统从mykeystore文件中将信息取出  
-validity该密钥的有效期为 36500表示100年 (默认为90天)  

cacerts证书文件(The cacerts Certificates File)  

改证书文件存在于java.home/lib/security目录下,是Java系统的CA证书仓库  

二、准备工作 

1.   验证是否已创建过同名的证书 


Window : keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit  

Linux : keytool -list -v -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit   

2.   删除已创建的证书 

Window : keytool -delete -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit   

Linux : keytool -delete -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit   

三、创建证书 


1.   服务器中生成证书: 


(注:生成证书时,CN要和服务器的域名相同,如果在本地测试,则使用localhost)   

Window : keytool -genkey -alias tomcat -keyalg RSA -keystore d:/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit   

Linux : keytool -genkey -alias tomcat -keyalg RSA -keystore ~/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit   

2.   导出证书,由客户端安装: 


window : keytool -export -alias tomcat -keystore d:/my.keystore -file d:/mycerts.cer -storepass changeit   

Linux : keytool -export -alias tomcat -keystore ~/my.keystore -file ~/mycerts.cer -storepass changeit   

3.   客户端配置:为客户端的JVM导入密钥(将服务器下发的证书导入到JVM中) 


window : keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -file d:/mycerts.cer -storepass changeit   

Linux : keytool -import -trustcacerts -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -file ~/mycerts.cer -storepass changeit   

四、配置Tomcat SSL 


修改server.xml中的SSL服务   
Window :   
<Connector port="8443" maxHttpHeaderSize="8192"   
     maxThreads="150" minSpareThreads="25" maxSpareThreads="75"   
     enableLookups="false" disableUploadTimeout="true"   
     acceptCount="100" scheme="https" secure="true"   
     clientAuth="false" sslProtocol="TLS" keystoreFile="d:/my.keystore" keystorePass="changeit"/>   

Linux:   
<Connector port="8443" maxHttpHeaderSize="8192"   
     maxThreads="150" minSpareThreads="25" maxSpareThreads="75"   
     enableLookups="false" disableUploadTimeout="true"   
     acceptCount="100" scheme="https" secure="true"   
     clientAuth="false" sslProtocol="TLS" keystoreFile="~/my.keystore" keystorePass="changeit"/>   

五、常见问题 


1.   未找到可信任的证书 


主要原因为在客户端未将服务器下发的证书导入到JVM中,可以用   

keytool -list -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit   

来查看证书是否真的导入到JVM中。   

2.   keytool错误:java.io.IOException:keystore was tampered with,or password was incorrect 


原因是在你的home目录下是否还有.keystore存在。如果存在那么把他删除掉,后再执行   

或者删除"%JAVA_HOME%/jre/lib/security/cacerts 再执行   

建议直接删掉cacerts再导入   

Tomcat配置https及访问http自动跳转至https   
完成上述操作就可以通过https://www.xxx.com:8443 或者 http://www.xxx.com:[port]访问网站;   
第二步:配置Tomcat   
  打开$CATALINA_HOME/conf/server.xml,修改如下:   

  <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />   
修改参数=>   
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000"  redirectPort="443" />   


<!--   
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"   
              maxThreads="150" scheme="https" secure="true"   
              clientAuth="false" sslProtocol="TLS"/>   
-->   
去掉注释且修改参数=>   
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"   
               maxThreads="150" scheme="https" secure="true"   
               clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat.keystore" keystorePass="changeit"/>   


<!--   
   <Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" />   
-->   
修改参数=>   
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" />   

第三步:配置tomcat的web.xml在该文件末尾增加:强制https访问   
及输入http:// 自动跳转https://   
配置如下:   
<login-config>   
     <!-- Authorization setting for SSL -->   
     <auth-method>CLIENT-CERT</auth-method>   
     <realm-name>Client Cert Users-only Area</realm-name>   
</login-config>   
<security-constraint>   
     <!-- Authorization setting for SSL -->   
     <web-resource-collection >   
     <web-resource-name >SSL</web-resource-name>   
     <url-pattern>/*</url-pattern>   
     </web-resource-collection>   
     <user-data-constraint>   
     <transport-guarantee>CONFIDENTIAL</transport-guarantee>   
     </user-data-constraint>   
</security-constraint>
414rwbg435bw5_3sdf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
keytool生成证书,双向SSL认证配置的方法
12-01
keytool生成证书,双向SSL认证配置的方法,以Tomcat举例。包含步骤:一、为服务器生成证书;二、为客户端生成证书;三、让服务器信任客户端证书;四、让客户端信任服务器证书
Tomcat配置SSL证书的方法
01-10
代码如下:keytool -genkeypair -alias “tomcat” -keyalg “RSA” -keystore “f:\tomcat.keystore”  这样就会生成一对秘钥文件。 二、通过tomcat的连接器将秘钥文件连接到tomcat中。 在tomcat的安装根目录下...
使用JDK自带工具keytool生成ssl证书
热门推荐
seeker的博客
05-17 6万+
使用JDK自带工具keytool生成ssl证书 HTTPS简介 超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种网络安全传输协议。具体介绍以前先来介绍一下以前常见的HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协...
keytool 生成SSL证书,配置Tomcat证书
我的博客
07-01 634
keytool 生成SSL证书,配置Tomcat证书 一、为服务器生成证书 1、利用keytool工具 命令行输入:keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500 需要提前配置JDK环境变量,或者直接前往JDK bin目录下执行 注释:D:\home\to...
使用keytool生成SSL证书
邓霖涛的博客
11-23 1918
新建keystore文件 keytool -genkeypair -keyalg RSA -keystore testKeyStore.jks -dname "CN=denglintao.com, OU=ZooKeeper, O=Apache, L=Unknown, ST=Unknown, C=Unknown” 将私钥生成证书 keytool -export -keystore testKeyStore.jks -rfc -file cert.cer 将证书文件导入testTrustSt..
Tomcat 开启基于https的SSL配置
05-28
keystoreFile="你的 keystore 路径" keystorePass="生成证书时的口令" /> ``` 其中: * port:HTTPS 的端口,默认 8443 * clientAuth:设置是否双向验证,默认为 false,设置为 true 代表双向验证 * keystoreFile...
关于tomcatssl配置
11-08
Tomcat SSL 配置详解 Tomcat 是一个流行的 Web 服务器软件,它支持 SSL/TLS 加密协议,以确保数据传输的安全性。在本文中,我们将详细介绍 TomcatSSL 配置步骤和过程。 一、生成密钥对 在 Tomcat 中,需要...
openSSL制作证书并在tomcat配置
05-21
自己学习openSSL的一些总结,很初步,希望能够帮助到跟我一样刚刚开始接触openSSL的朋友,很浅显,我也是初学者,希望大家不要见笑。
Tomcat Java SSL
weixin_30737363的博客
09-08 96
转自 - http://blog.csdn.net/szzt_lingpeng/article/details/51247980 转载自:http://my.oschina.net/cimu/blog/314023?fromerr=acPUSUMV Keytool是一个Java数据证书的管理工具。Keytool将密钥(key)和证书(certificates)存在一个称为keystore的...
利用java工具keytool生成一对非对称密匙与自我签名证书tomcat.keystore
04-10
tomcat如何为应用添加数字签名证书,仅仅在单机测试环境使用
tomcat生成证书
08-29
tomcat生成证书步骤,CA客户端证书导入,附带图片详细介绍
java ssl https 连接详解 生成证书
数据库天地
08-30 673
我们先来了解一下什么理HTTPS 1. HTTPS概念 1)简介 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。这个系统的最初研发由网景公司进行,提供了身份验证与加密...
Tomcat服务器配置https认证(使用keytool生成证书
anzhuan0920的博客
10-23 355
一、证书生成 1、生成服务器证书 (1)打开打开命令控制台,进入jdk的bin目录 cd D:\Program Files\jdk1.6.0_45\bin (2)keytoolTomcat生成证书(“-validity 36500”证书有效期,36500表示100年,默认值是90天) keytool -genkey ...
tomcat配置https 通过.pem和.key生成keystore
12-27 1321
到手的有两个文件:private.key和xxx.pem openssl pkcs12 -export -inkey private.key -in xxx.pem -name test -out test.p12 keytool -importkeystore -srckeystore...
tomcat配置https访问,SSL ***.keystore格式证书申请,配置tomcat
qq445829096的博客
01-17 2104
最近开发浏览器人脸采集功能,需要使用H5调用摄像头,发现最新版的谷歌和火狐浏览器安全机制不允许通过http协议打开摄像头,所以自己使用jdk自带的工具申请了证书配置tomcat,然后访问https协议访问tomcat发布的服务 1.使用jdk自带的keytool生成证书keystore 1.1打开cmd窗口后 cd到jdk目录bin目录 1.2输入 keytool -genkey -a.........
配置Tomcat使用https协议(配置SSL协议)
Free Coding
12-30 1064
内容概览: 如果希望 Tomcat 支持 Https,主要的工作是配置 SSL 协议   1.生成安全证书   2.配置tomcat --------------------------------------------------------------------------------------------------------------------------- 预备知...
tomcat7+jdk的keytool生成证书 配置https
weixin_34203832的博客
09-25 343
目前只会使用jdk的keytool生成证书。本文仅介绍这种方法。 1Windows下: 1.1 生成keystore文件及导出证书 打开控制台: 运行: %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA 按照要求一步步的输入信息,问你国家/地区代码的时候,输入cn。 输入密码的时候,这里使用:changeit 最后...
tomcat 开启https 配置keystore
O0mm0O的博客
08-04 1万+
tomcat 开启https 配置keystore
tomcatssl证书生成
最新发布
01-04
以下是使用自动生成的JKS格式证书配置Tomcat的过程: 1. 确保你已经安装了Java JDK和Tomcat,并且已经设置好了环境变量。 2. 打开终端或命令行,输入以下命令来生成JKS格式证书: ```shell keytool -genkey -v -...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值