Ubuntu Tomcat8.5 openssl构建单双向https认证

最新推荐文章于 2020-12-24 17:20:05 发布
最新推荐文章于 2020-12-24 17:20:05 发布
阅读量1.1k 收藏 4
点赞数 1
分类专栏: https 文章标签: ubuntu tomcat openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chuzhi78/article/details/76877935
版权

作为最近学到的新知识的总结吧,好记性不如烂笔头写在这里,也方便以后忘了的时候查看用。

1、 使用openssl生成证书文件

1.1 准备工作

创建工作目录

mkdir ~/demo
cd ~/demo
mkdir -p ca/certs ca/csr ca/private
mkdir -p server/certs server/csr server/private
mkdir -p client/certs client/csr client/private

certs:存放证书文件
csr:存放证书请求文件
private:存放私钥文件

1.2 生成根正书

相当于CA的签发机构,linux下的Chrom和Firefox浏览器都能正常工作,windows下的IE能工作,windows下的Chrome目前没调试好,总是报证书错误(难道windows下不相信所有非真正的CA根证书么),有知道的麻烦告知一下,谢谢。

1.2.1 生成CA私钥
openssl genrsa -out ca/private/ca-key.pem 2048

也可以是1024或者4096位的key,如果需要密码保护,可以使用下面的命令

openssl genrsa -aes256 -out ca/private/ca-key.pem 2048

我为了测试学习,目前没有使用-aes256参数

1.2.2 生成根证书签发申请
openssl req -new -key ca/private/ca-key.pem -out ca/csr/ca-req.csr

如果上一步有密码,此时需要输入上一步的密码

1.2.3 签发根证书

属于自己给自己签发,跟12306的SRCA性质一样

openssl x509 -req -days 365 -sha256 -extensions v3_ca -signkey ca/private/ca-key.pem -in ca/csr/ca-req.csr -out ca/certs/ca-cert.cer

这样我们就有了签发机构了,可以给其它人签发证书了。

1.3 签发服务端证书

1.3.1 生成私钥
openssl genrsa -out server/private/server-key.pem 2048
1.3.2 生成服务端签发申请
openssl req -new -key server/private/server-key.pem -out server/csr/server-req.csr

注意,此证书中的Common Name(cn)是你要发布网站的域名,如www.mytest.com也可以是ip地址,就是浏览器或者客户端输入的那个地址

1.3.3 签发服务端证书
openssl x509 -req -days 365 -sha256 -extensions v3_req -CA ca/certs/ca-cert.cer -CAkey ca/private/ca-key.pem -CAserial ca/ca.srl -CAcreateserial -in server/csr/server-req.csr -out server/certs/server-cert.cer

1.4 签发客户端证书

1.4.1 生成私钥
openssl genrsa -out client/private/client-key.pem 2048
1.4.2 生成客户端签发申请
openssl req -new -key client/private/client-key.pem -out client/csr/client-req.csr

注意,此证书中的Common Name(cn)是你要发布网站的域名,如www.mytest.com也可以是ip地址(后面的双向认证使用),就是浏览器或者客户端输入的那个地址

1.4.3 签发客户端证书
openssl x509 -req -days 365 -sha256 -extensions v3_req -CA ca/certs/ca-cert.cer -CAkey ca/private/ca-key.pem -CAserial ca/ca.srl -CAcreateserial -in client/csr/client-req.csr -out client/certs/client-cert.cer

1.5 证书的使用

1.5.1 转换格式

需要先装其转换成PKCS#12编码格式的密钥库,才能使用keytool工具进行相应的管理。

openssl pkcs12 -export -clcerts -name client -inkey client/private/client-key.pem -in client/certs/client-cert.cer -out client/certs/client-cert.p12
openssl pkcs12 -export -clcerts -name server -inkey server/private/server-key.pem -in server/certs/server-cert.cer -out server/certs/server-cert.p12
1.5.2 生成服务端的信任根证书(双向认证使用)
keytool -importcert -trustcacerts -alias server-trust -file ca/certs/ca-cert.cer -keystore ca/server-trust.p12

其中的-alias参数用于标识证书名字,可以取任意值

1.5.3 生成Android客户端的信任根证书(双向认证使用)

Android端使用的根证书的格式是BKS的(需要专门的一个jar包生成点此下载),安全度更高,据说修改一个bit的数据就会产生错误,反正就是安全级别更高。

keytool -importcert -trustcacerts -alias android-client-trust -file ca/certs/ca-cert.cer -keystore ca/android-client-trust.bks -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath ./bcprov-jdk15on-157.jar

此时我们将有这些文件

demo/
├── bcprov-jdk15on-157.jar
├── ca
│   ├── android-client-trust.bks
│   ├── ca.srl
│   ├── certs
│   │   └── ca-cert.cer
│   ├── csr
│   │   └── ca-req.csr
│   ├── private
│   │   └── ca-key.pem
│   └── server-trust.p12
├── client
│   ├── certs
│   │   ├── client-cert.cer
│   │   └── client-cert.p12
│   ├── csr
│   │   └── client-req.csr
│   └── private
│       └── client-key.pem
└── server
    ├── certs
    │   ├── server-cert.cer
    │   └── server-cert.p12
    ├── csr
    │   └── server-req.csr
    └── private
        └── server-key.pem

12 directories, 15 files

常用到的证书文件如下:

./ca/android-client-trust.bks /*Android端的根证书安装文件*/
./ca/server-trust.p12 /*服务器端的信任根证书安装文件(双向认证时使用),比如tomcat使用的*/
./ca/certs/ca-cert.cer /*通常是PC端浏览器上需要安装的*/
./client/certs/client-cert.p12 /*客户端证书,通常用于Android上使用*/
./client/certs/client-cert.cer /*客户端证书,通常用于PC端的浏览器上安装使用*/
./server/certs/server-cert.p12 /*服务器端使用的证书,比如tomcat*/

大概分析一下这些证书之间的关系,技术太差,如果错误,非常非常欢迎指出,非常感谢!!!
首先“./ca/android-client-trust.bks”、“./ca/server-trust.p12”和“./ca/certs/ca-cert.cer”可以看成是一样作用的文件,甚至可以看成一个文件,都是根证书,只是格式不一样。
“./ca/certs/ca-cert.cer”用openssl产生的;
“./ca/server-trust.p12”用keytool产生的,用于java环境下的证书;
“./ca/android-client-trust.bks”用BKS工具产生;
他们签发了Client的“./client/certs/client-cert.p12”证书和Server的“./server/certs/server-cert.p12”证书。

  • 单向认证中
    1、tomcat服务器端部署证书“./server/certs/server-cert.p12”
    2、PC端浏览器安装根证书“./ca/certs/ca-cert.cer”
    3、Android客户端安装根证书“./ca/android-client-trust.bks”
    当客户端向服务器请求时,服务器将自己的证书给客户端,客户端根据服务器的证书中的CA根证书名字,找到自己安装的根证书来验证服务器的证书,由于服务器的证书是客户端安装的根证书签发的,所以,客户端能认证通过,然后进行安全会话。

  • 双向认证中
    在单项认证基础上
    1、tomcat服务器端部署信任根证书“./ca/server-trust.p12”;
    2、PC端浏览器安装证书“./client/certs/client-cert.cer”;
    3、Android客户端安装证书“./client/certs/client-cert.p12”
    当客户端向服务器请求时,客户端将自己的证书发给服务器,服务器更加客户端证书中的CA根证书名字,找到自己安装的根证书来验证客户端的证书,由于客户端的证书是服务器安装的根证书签发的,所以,服务器能认证通过;然后服务器将自己的证书发给客户端,客户端在用自己的CA根证书验证服务器的证书,验证通过,就可以进行安全会话,之间只要有任何不通过的地方,双方通信立刻停止。

2、单向认证的配置

2.1 Tomcat配置

打开Tomcat配置文件server.xml,增加如下内容:

<Connector
    port="8443"
    protocol="HTTP/1.1"
    maxThreads="150"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    clientAuth="false"
    sslProtocol="TLS"
    keystoreFile="{绝对路径}/server-cert.p12"
    keystoreType="pkcs12"
    keystorePass="123456"
    />

如果是本机测试,而且是用的域名,可以将“/etc/hosts”文件中的localhost修改为自己的域名。
我本机搭建的tomcat服务器地址的我的ip地址(192.168.7.215),所以我都是以这个ip地址测试。

2.2 chrome测试

打开chrome,输入https://192.168.7.215:8443提示如下图:
这里写图片描述

此时添加我们CA根证书(./ca/certs/ca-cert.cer),来使chrome能正确验证我们自签发的服务端证书,一定要导入到授权中心,并勾选所有选择框。
这里写图片描述

在次刷新浏览器,可以看到已经认证成功,进行了https安全会话。
这里写图片描述

2.3 Android客户端测试

在Android中使用我们自己生成的根证书,使用方法如下:

private static final String KEY_STORE_TRUST_FILE = "/data/data/你自己app的包名/files/android-client-trust.bks";
private static final String KEY_STORE_TRUST_PASS = "123456";

private static final String KEY_STORE_TYPE_BKS = "bks";

KeyStore trustStore = KeyStore.getInstance(KEY_STORE_TYPE_BKS);
InputStream tsin = new FileInputStream(KEY_STORE_TRUST_FILE);
trustStore.load(tsin, KEY_STORE_TRUST_PASS.toCharArray());
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(trustStore);
TrustManager[] trustManagers = tmf.getTrustManagers();

SSLContext sc = SSLContext.getInstance("TLS");
sc.init(null, trustManagers, null);
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());

看网上很多都使用信任任何证书的方式访问https,我觉得不安全,但我又不知道如何使用系统自带的根证书去认证,有知道的麻烦告知一下,非常感谢!!!

3、双向认证配置

3.1 Tomcat配置

<Connector
    port="8443"
    protocol="HTTP/1.1"
    maxThreads="150"
    SSLEnabled="true"
    scheme="https"
    secure="true"
    clientAuth="true"
    sslProtocol="TLS"
    keystoreFile="{绝对路径}/server-cert.p12"
    keystoreType="pkcs12"
    keystorePass="123456"
    truststoreFile="{绝对路径}/server-trust.p12"
    truststoreType="jks"
    truststorePass="123456"
    />

3.2 chrome测试

由于tomcat配置的是clientAuth=”true”,表示客户端也必须有证书,此时没有导入客户端证书,所以直接不能访问:
这里写图片描述

导入浏览器证书(./client/certs/client-cert.cer),需要导入到“您的证书”列表中,对于Firefox也是导入到这里面,不要导入到“个人”中
这里写图片描述
再次刷新页面:
这里写图片描述
需要选择证书,此时选择我们导入的证书,再次栓新页面:
这里写图片描述

3.3 Android客户端测试

代码如下,主要是添加客户端使用的证书

private static final String KEY_STORE_CLIENT_FILE = "/data/data/你自己app的包名/files/client-cert.p12";
private static final String KEY_STORE_CLIENT_PASS = "123456";

private static final String KEY_STORE_TRUST_FILE = "/data/data/你自己app的包名/files/android-client-trust.bks";
private static final String KEY_STORE_TRUST_PASS = "123456";

private static final String KEY_STORE_TYPE_BKS = "bks";
private static final String KEY_STORE_TYPE_P12 = "PKCS12";

KeyStore keyStore = KeyStore.getInstance(KEY_STORE_TYPE_P12);
InputStream ksin = new FileInputStream(KEY_STORE_CLIENT_FILE);
keyStore.load(ksin, KEY_STORE_CLIENT_PASS.toCharArray());
KeyManagerFactory kmf = KeyManagerFactory.getInstance("X509");
kmf.init(keyStore, KEY_STORE_CLIENT_PASS.toCharArray());
KeyManager[] keyManagers = kmf.getKeyManagers();

KeyStore trustStore = KeyStore.getInstance(KEY_STORE_TYPE_BKS);
InputStream tsin = new FileInputStream(KEY_STORE_TRUST_FILE);
trustStore.load(tsin, KEY_STORE_TRUST_PASS.toCharArray());
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
tmf.init(trustStore);
TrustManager[] trustManagers = tmf.getTrustManagers();

SSLContext sc = SSLContext.getInstance("TLS");
sc.init(keyManagers, trustManagers, null);
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());

其它

如下配置,能使浏览器访问时不用输入http或者https,直接输入ip或者域名,都自动使用https访问。
打开tomcat的web.xml,在</welcome-file-list>下面添加如下代码:

<welcome-file-list>
    <welcome-file>index.html</welcome-file>
    <welcome-file>index.htm</welcome-file>
    <welcome-file>index.jsp</welcome-file>
</welcome-file-list>

<login-config>
    <!-- Authorization setting for SSL -->
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
    <!-- Authorization setting for SSL -->
    <web-resource-collection >
        <web-resource-name >SSL</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

重启tomcat即可。

其实这里还有SNI(Server Name Indication)方面的知识,是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展,网上有很多介绍的,下图是我访问百度的抓包,里面有SNI扩展字段
这里写图片描述

chuzhi78
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcatopenSSL构建https双向认证
07-28
#### TomcatOpenssl构建HTTPS双向认证 ###### 选择HTTPS WEB服务器 Linux下安装OpenSSL 一、创建服务器证书、客户端证书以及CA 1、生成--服务器端--私钥和证书请求 2、生成--客户端-----私钥和证书请求 3、生成...
Openssl 建立双向认证的 SSL/TLS 通信
嵌入式攻城狮
11-01 1657
利用 Openssl 在两台 uBuntu 之间建立双向认证的 TLS/SSL 通信
openssl双向认证 tomcat_linux下Tomcat+OpenSSL配置向&双向认证(自制证书)
weixin_42305041的博客
12-24 1156
背景由于ios将在2017年1月1日起强制实施ATS安全策略,所有通讯必须使用https传输,本文只针对自制证书,但目前尚不确定自制证书是否能通过appstore审核。1、必须支持传输层安全(TLS)协议1.2以上版本2、证书必须使用SHA256或更高的哈希算法签名3、必须使用2048位以上RSA密钥或256位以上ECC算法等等4、证书必须是V3版本以上是几个注意点。主要针对ios的ATS策略环境...
Tomcat 8.5 配置 SSL 证书
weixin_34204057的博客
06-14 1066
申请的是阿里云的免费证书,下载tomcat版的证书文件 里面有4个文件分别是: xxxx.key、xxxx.pem、xxxx.pfx、password.txt 根具阿里云上提供的配置说明如下: Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一。文件说明: 证书文件xxxx.pem,包含两段内...
ubuntu下为tomcat配置https
anod的专栏
12-05 400
因为微信小程序需要,所以必须搞成https了。 弄了两天,坑很多,简记录一下。 1、要确认版本,特别是tomcat的版本,不同的版本配置方法不一样。网上很多帖子,我都不知道作者是不是真的试验过。说个题外话,因为用到了mysql。mysql 5(比如5.7)和mysql 8,连jdbc驱动的class都变了。 2、证书的问题。生产服务器不能用自签名证书,所以用java/bin目录下的keytool生成的就不行了。我是去freessl申请的,过程倒也不复杂。 3、如果用aliyun的主机,上面有个一键
tomcat8.5配置https并强制转443端口
xiaoyue
04-29 3099
最近在使用docker容器来部署一个简的web网站,想到用tomcat作为中间件,我在使用的过程中各种查阅资料,最后成功配置,以此来记录一下,以备后续之需。 配置HTTPS 其中主要使用了tomcat8.5,以及自己的一个域名的证书。conf文件夹下的server.xml最终配置如下:(ps:将之前配置的8443全部改为443端口) <?xml version="1.0" enco...
docker构建nginx双向认证https服务器
06-18
docker构建nginx双向认证https服务器。 openssl命令生成双向认证自签名证书。 nginx配置https(tls)服务。 浏览器访问服务器需要导入客户端证书到浏览器中。
C语言https客户端双向认证
09-04
C语言实现https客户端,使用证书的双向认证,上传资料中,包含证书和代码,证书使用openssl生成的RSA证书,也可换成自己的证书和服务端一致就行了。
Ubuntu 16.04 Nginx 证书 向验证 双向验证
心猿意码
01-28 3959
申请阿里云免费证书 添加域名解析 下载证书 登录服务器 创建一个空的文件夹 cert 上传刚刚下载的证书文件 配置路径 https 向验 没有https之前 添加如下配置文件 server { listen 443; server_name localhost; ssl on; root /var/www/html; index index....
tomcat8优化方案
天涯的博客
05-12 962
Tomcat支持三种接收请求的处理方式:BIO、NIO、APR 1.BIO模式 阻塞式I/O操作,表示Tomcat使用的是传统Java I/O操作(即java.io包及其子包)。Tomcat7以下版本默认情况下是以bio模式运行的,由于每个请求都要创建一个线程来处理,线程开销较大,不能处理高并发的场景,在三种模式中性能也最低。 2.NIO模式 Java SE 1.4及后续版本提供的一种新的I/O操...
openSSL生成证书以及在tomcat下的配置
05-21
这是我自己关于学习openSSL的一些心德,很初级,请大家不要见笑
Ubuntu 服务器Tomcat配置证书实现Https
york2017的博客
04-22 629
前言:要实现服务器TomcatHttps连接,需要将下载的证书安装到Tomcat服务器上。Tomcat支持PFX格式和JKS两种格式的证书,你可根据你Tomcat版本选择其中一种格式的证书安装到服务器Tomcat上,这里以PFX格式证书为例,介绍安装SSL实现Https的流程。 安装环境及材料 阿里云ubuntu服务器 Tomcat PFX格式证书 具体操作 1. 获取证书 这里需要之前...
https服务器搭建详细教程(ubuntu系统实测可行)
wujunlei1595848的博客
05-01 3047
第一步:把指定的域名绑定到服务器指定的端口 1、安装nginx sudo apt-get install nginx 查看nginx版本,确认安装成功 nginx -v 安装完nginx以后,通过浏览器访问127.0.0.1,再次确认安装成功(访问127.0.0.1其实等价于访问127.0.0.1:80) 2、修改nginx配置文件 sudo vim /etc/ngin...
HTTPS双向认证配置--tomcat8.5.55和JDK8基本环境
qq_43185059的博客
07-13 886
HTTPS双向认证配置实验内容实验步骤一.安装jdk二、为服务器端生成一个证书三、为客户端生成证书四、客户端证书导入五、客户端的服务端相互信任,给他们相互安装证书服务器端信任客户端证书客户端信任服务端证书六、配置Tomcat七、浏览器输入https://localhost:8443,继续访问八、浏览器查看证书,工具,Internet选项 实验内容 实验目标 通过安装和配置JDK8和tomcat8.5.55,建立一个基本环境,主要目的: 为网络安全试验做准备 授权客户端和服务端的信任证书,从而可以进行访问。
tomcat8的apr模式配置SLL证书
weixin_30786657的博客
04-18 172
应公司的的推广需求,要求所有的一些广告页面都必须可以被https访问,网上搜了一些方法,发现很多都没有写下什么环境和版本下的配置很多都是转载,现在写下自己的碰到的一些问题和解决方法。 1.环境和配置: 服务器操作系统,Windows Server 2012 R2 JDK版本:jdk1.8_074 tomcat版本:tomcat8.0.39 服务器为国内租用的云服务器 域名为公司...
tomcat8配置https,实现双向SSL
无忧小盗的博客
07-13 7287
花了两三天终于搞完,中间有个环节卡了一天,不然一天就能搞定了。具体https、ssl是啥,我就不说了哈,不懂的先去百度。废话不多说,下面开始正题。使用tomcat8+jdk8。一、向1、生成服务器证书库,及秘钥,keytool是jdk自带的,也可以使用openssl。keytool-genkey -v -alias mykeystore -keyalg RSA -keystore server....
Tomcat8上安装和配置SSL/TLS支持[官方版]
521478
11-07 2556
  SSL / TLS简介 传输层安全性(TLS)及其前身安全套接字层(SSL)是允许Web浏览器和Web服务器通过安全连接进行通信的技术。这意味着所发送的数据在处理之前被一方加密,传送,然后由另一方解密。这是一个双向的过程,这意味着服务器和浏览器都会在发送数据之前对所有流量进行加密。 SSL / TLS协议的另一个重要方面是身份验证。这意味着,在您最初尝试通过安全连接与Web...
Linux下Tomcat8使用APR模式运行
甘蓝的专栏
03-29 2011
1、安装要求使用APR模式需要依赖如下软件:APR 1.2+ development headers (libapr1-dev package) OpenSSL 0.9.7+ development headers (libssl-dev package) JNI headers from Java compatible JDK 1.4+ GNU development environment (...
openssl双向认证
最新发布
12-13
openssl双向认证是一种安全机制,通过该机制,服务器和客户端之间进行通信时,双方都需要验证对方的身份。在这种认证过程中,服务器需要提供自己的证书以证明自己的身份,而客户端也需要提供自己的证书以验证自己的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值