JDK自带工具keytool生成ssl证书

最新推荐文章于 2024-07-26 09:21:56 发布
最新推荐文章于 2024-07-26 09:21:56 发布
阅读量462 收藏 1
点赞数
分类专栏: dos
原文链接:https://blog.csdn.net/dwyane__wade/article/details/80350548
版权

 

https简介

HTTPS工作原理

自签名证书简介

生成SSL证书步骤

          1、为服务器生成证书

          2、生成服务端证书 tomcat.cer

          3、导入证书文件到cacerts密钥库文件

          4、服务器Tomcat配置

 

 

https简介

  • 超文本传输安全协议(Hypertext Transfer Protocol Secure,缩写HTTPS)是一种网络安全传输协议。
  • HTTP就是平时浏览网页时候使用的一种协议,HTTP协议传输的数据都是未加密的,也就是明文,因此使用HTTP协议传输隐私信息非常不安全,HTTP使用80端口通讯而HTTPS占用443端口通讯,在计算机网络上,HTTPS经由超文本传输协议进行通信,但利用SSL/TLS来加密数据包。HTTPS开发的主要目的,是提供对网络服务器的身份认证,保护交换数据的隐私与完整性。
  • HTTPS其实是有两部分组成:HTTP+SSL/TLS,也就是在HTTP上加了一层处理加密信息的模块,并且会进行身份的验证。
  • SSL(Secure Sockets Layer安全套接层)是为网络通信提供安全及数据完整性的一种安全协议,SSL在网络传输层对网络连接进行加密,SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通信提供安全支持。SSL协议分为两层,SSL记录协议建立在TCP之上,为高层协议提供数据封装、压缩、加密等基本功能支持。SSL握手协议建立在SSL记录协议之上,用户实际数据传输开始前进行身份验证、协商加密算法、交换加密秘钥。

HTTPS工作原理

HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。TLS/SSL协议不仅仅是一套加密传输的协议,更是一件经过艺术家精心设计的艺术品,TLS/SSL中使用了非对称加密,对称加密以及HASH算法。握手过程的具体描述如下:

  • 浏览器将自己支持的一套加密规则发送给网站。
  • 网站从中选出一组加密算法与HASH算法,并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息。
  • 浏览器获得网站证书之后浏览器要做以下工作: 
    • 验证证书的合法性(颁发证书的机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等),如果证书受信任,则浏览器栏里面会显示一个小锁头,否则会给出证书不受信的提示
    • 如果证书受信任,或者是用户接受了不受信的证书,浏览器会生成一串随机数的密码,并用证书中提供的公钥加密
    • 使用约定好的HASH算法计算握手消息,并使用生成的随机数对消息进行加密,最后将之前生成的所有信息发送给网站
  • 网站接收浏览器发来的数据之后要做以下的操作: 
    • 使用自己的私钥将信息解密取出密码,使用密码解密浏览器发来的握手消息,并验证HASH是否与浏览器发来的一致。
    • 使用密码加密一段握手消息,发送给浏览器。
  • 浏览器解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手过程结束,之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。

HTTPS一般使用的加密与HASH算法如下:

  • 非对称加密算法:RSA,DSA/DSS
  • 对称加密算法:AES,RC4,3DES
  • HASH算法:MD5,SHA1,SHA256

 自签名证书简介

1. 客户端发起HTTPS请求
这个没什么好说的,就是用户在浏览器里输入一个https网址,然后连接到server的443端口。

2. 服务端的配置
采用HTTPS协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面(startssl就是个不错的选择,有1年的免费服务)。这套证书其实就是一对公钥和私钥。如果对公钥和私钥不太理解,可以想象成一把钥匙和一个锁头,只是全世界只有你一个人有这把钥匙,你可以把锁头给别人,别人可以用这个锁把重要的东西锁起来,然后发给你,因为只有你一个人有这把钥匙,所以只有你才能看到被这把锁锁起来的东西。

3. 传送证书
这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等等。

4. 客户端解析证书
这部分工作是有客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随即值。然后用证书对该随机值进行加密。就好像上面说的,把随机值用锁头锁起来,这样除非有钥匙,不然看不到被锁住的内容。

5. 传送加密信息
这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。

6. 服务段解密信息
服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行对称加密。所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。

7. 传输加密后的信息
这部分信息是服务段用私钥加密后的信息,可以在客户端被还原

8. 客户端解密信息
客户端用之前生成的私钥解密服务段传过来的信息,于是获取了解密后的内容。整个过程第三方即使监听到了数据,也束手无策。

生成SSL证书步骤

1、为服务器生成证书

  • 打开cmd命令,进入jdk的bin目录下或者tomcat下
  •  相关命令
keytool 

-genkey 

-alias tomcat(别名) 

-keypass 123456(别名密码) 

-keyalg RSA(生证书的算法名称,RSA是一种非对称加密算法) 

-keysize 1024(密钥长度,证书大小) 

-validity 365(证书有效期,天单位) 

-keystore share.keystore(指定生成证书的位置和证书名称) 

-storepass 123456(获取keystore信息的密码)

- storetype (指定密钥仓库类型)
  • 使用keytool命令生成证书:
方便复制版:  keytool -genkey -alias share -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore share.keystore -storepass 123456


返回:

W:\sys_toos\jdk8\jdk1.8.0_73\bin>keytool -genkey -alias share -keypass 123456 -
keyalg RSA -keysize 1024 -validity 365 -keystore share.keystore -storepass 1
23456
您的名字与姓氏是什么?
  [Unknown]: 提示:使用域名或者ip地址
您的组织单位名称是什么?
  [Unknown]:  
您的组织名称是什么?
  [Unknown]:  
您所在的城市或区域名称是什么?
  [Unknown]: 
您所在的省/市/自治区名称是什么?
  [Unknown]:  
该单位的双字母国家/地区代码是什么?
  [Unknown]: 
CN=www.seeker.com, OU=seeker, O=seeker, L=beijing, ST=beijing, C=zh是否正确?
  [否]:  y


点击回车:生成tomcat.keystore的文件。

2、生成服务端证书 tomcat.cer

  • 根据上面导出的tomcat.keystore文件就可以生成tomcat.cer文件,在dos命令中执行:
keytool -export -alias share -storepass 123456 -file share.cer -keystore share.keystore

    注意:-alias和-storepass必须为生成share.keystore密钥文件时所指定的别名和密码,否则证书导出失败

3、导入证书文件到cacerts密钥库文件

  • 把生成的服务器证书share.cer导入到cacerts密钥库文件中
keytool -import -trustcacerts -alias share -storepass 123456 -file share.cer -keystore cacerts

  • 查看cacerts中的证书列表

keytool -list -keystore cacerts -storepass 123456

  • 删除cacerts中指定名称的证书

keytool -delete -alias share -keystore cacerts -storepass 123456

4、服务器Tomcat配置

  • 完成密钥文件、证书文件和密钥库文件后即可进行服务器Tomcat的配置
  • <!--keystoreFile 生成的安全证书的位置--> 
  • <!--keystorePass设置安全证书的密码-->
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"

         maxThreads="150" scheme="https" secure="true"

         clientAuth="false"

         sslProtocol="TLS"

         keystoreFile="D:\server\tomcat-7.0.55\share.keystore"  

         keystorePass="123456"   

         port="443"   />

属性说明

  • clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证
  • keystoreFile:服务器证书文件路径
  • keystorePass:服务器证书密码
  • port一般为8443或443,最常用的是443端口(https默认端口)

 

 

参考文章

 

奔跑8蜗牛_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
收藏夹吃灰系列(八):实现springboot使用JDK自带keytool生成SSL证书并配置HTTPS | 超级详细,建议收藏!
**My Coding Family**
06-23 1230
大家好,我是bug菌~~ Hi ,小伙伴们,我们又见面啦,本来这阵子不太想写文,主要是不知道给大家伙儿聊点啥,谁让bug菌这么宠你们呢,游戏可以不玩,但是文章必须更, 群声一片:"bug菌,醒醒~你的小伙伴们都等着急了,还不赶紧开始"。 bug菌(眉头紧皱)"好的好的,这就开始"。 不知你们对https有过多少了解, ...
JDK生成ssl证书
11-29
JDK自带工具生成ssl证书,经过上述操作,使用HTTPS 端口为8443 进行访问的时候 就是经过SSL信息加密,不怕被截获了。 通话的双方,必须是都拥有证书的端,才能进行会话,换句话说,就是只有安装了咱证书的客户端,才能与服务器通信。
JDK中的证书生成和管理工具keytool
cnhome的专栏
08-04 1880
转自http://www.cnblogs.com/youxia/p/java002.html 一篇比较全面的讲解文章 阅读目录 参考资料 网络安全概论 使用keytool创建和管理证书 总结 回到顶部 参考资料   该文中的内容来源于 Oracle 的官方文档Java SE Tools Reference。Oracle 在 Java 方面的文档
利用jdk自带keytool工具生成jks签名文件注意事项
最新发布
Android
07-26 203
结论:生成签名文件,建议使用jdk1.8。
使用jdk生成ssl证书文件
weixin_33725272的博客
05-19 231
java自带ssl 证书生成工具, 在 /bin/keytools.exe 需要确认已经正确配置JAVA_HOME的环境变量 生成服务端证书keytool -genkey -v -alias tomcat -keyalg RSA -keystore E:/tomcat.keystore -dname "CN=www.wenbronk.com,OU=wenbronk,O=wenbron...
keytool 错误: java.io.FileNotFoundException: cacerts (拒绝访问。)
热门推荐
本海的窝
09-29 1万+
文章目录项目场景问题描述原因分析解决方案参考文档 项目场景 我想要将阿里云的maven中央仓库证书导入到 JRE security 中。 问题描述 C:\Program Files\Java\jdk1.8.0_241\jre\lib\security>keytool -import -alias aliyun-maven -keystore cacerts -file E:\entSoftware\aliyun-maven.cer 输入密钥库口令: …………一堆证书内容信息 是否信任此证书? [
jdk中的keytool 常用方法
gxhwq的专栏
03-24 200
之前用keytool时,有些参数没有太了解,今天仔细想了想,有些进一步的认识: storepass:存储证书证书库密码,默认是changeit,可以通过keytool -storepasswd 来修改 C:\WINDOWS&gt;keytool -storepasswd输入keystore密码:  changeit新 keystore password: XXXXX 创建证书:keyto...
JDK自带工具keytool生成ssl证书(web服务https配置)
qq_24892029的博客
03-04 2688
应工作需要,需要在局域网类用HTTPs访问。现记录如下。 1:什么是HTTPS? HTTPS其实是有两部分组成:HTTP + SSL / TLS, 也就是在HTTP上又加了一层处理加密信息的模块,并且会进行身份的验证。 问题: Firebug和postman之类的浏览器调试工具,为什么获取到的是明文? 解答: SSL是对传输的数据进行加密,针对的是传输过程的安全。 firebug之类的浏览器调试工具, 因为他们得到的是客户端加密之前/解密之后的数据,因此是明文的。 2:什么是自签..
JDK自带工具keytool生成ssl证书具体操作
05-05
可以按照以下步骤使用 keytool 工具生成自签名的 SSL 证书: 1. 打开命令行窗口,并导航到 JDK 的 bin 目录下。 2. 输入以下命令以生成 SSL 证书: ```bash keytool -genkey -alias mydomain -keyalg RSA -...
HTTPS和HTTP主要区别与JDK自带工具keytool生成ssl证书
隐居者
07-05 639
http是HTTP协议运行在TCP之上。所有传输(封装)的内容都是明文,通过抓包工具可以分析其信息内容,如果这些信息包含有你的银行卡帐号、密码,你肯定无法接受这种服务。http的连接很简单,是无状态的,所以客户端和服务器端都无法验证对方的身份。https是HTTP运行在SSL(Secure Sockets Layer)/TLS之上,SSL/TLS运行在TCP之上。所有传输的内容都经过加密,加密采用...
JDK中利用keytool创建自签名证书
03-20
NULL 博文链接:https://yaodaqing.iteye.com/blog/790349
jdk中密钥和证书管理工具keytool常用命令详解
09-04
keytool JAVA是个密钥和证书管理工具。它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务
jdk生成ssl证书
qq_20867981的博客
08-07 2051
C:\Program Files\Java\jdk1.8.0_131\bin&gt;keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\keys\tomcat.keystore -validity 36500 输入密钥库口令: 再次输入新口令: 您的名字与姓氏是什么? [Unknown]: weixin.xxx.com 您的组...
使用JDK使用自带工具keyTool生成 SSL证书
zhyingvip的博客
12-22 531
背景:最近需要搞一个https的,需要弄一个https的证书,本来有一个外网的阿里证书,只限于内网无法使用,所以使用jdk自带keytool工具制作一个证书,此处以centeros环境为例。 前置条件:在磁盘上创建此目录:/usr/local/keystore,证书存放的目录,在jdk的bin目录下运行下列命令既可以生成证书 1.安装证书 keytool -genkey -alias alias -keyalg RSA -keysize 1024 -keypass 123456 -storep
使用JDK自带工具keytool生成ssl证书
仗剑天涯
03-05 541
本文转载自点击打开链接 HTTPS简介 超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种网络安全传输协议。具体介绍以前先来介绍一下以前常见的HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的,也...
使用JDK工具keytool生成ssl证书,并在浏览器中访问
简介
03-17 692
使用JDK工具keytool生成ssl证书,并在浏览器中访问使用JDK工具keytool生成ssl证书什么是keytool生成ssl证书步骤配置tomcat安装证书启动tomcat,访问试试 使用JDK工具keytool生成ssl证书 首先让我们简单了解一些什么是 HTTPS。 超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种网络安全传输协议。 HT
jdk11生成SSL证书并添加信任
zsj777的专栏
08-01 1732
1、使用jdk执行,生成keystore对,所有输入密码都是1234562、把jks证书转换为p12格式证书3、导出cer证书4、下载安装openssl然后打开openssl命令窗口执行将cer格式证书转pem格式提取私钥nginx配置添加到jdk11信任列表1、获取访问网址的证书.cer文件。以chrome为例。......
KeytoolJDK Keytool生成密钥库和密钥对
杜小舟的博客
04-25 1948
使用JDK Keytool生成密钥库和密钥对
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值