tomcat7 配置HTTPS OPENSSL生成证书

最新推荐文章于 2021-06-21 17:18:44 发布
最新推荐文章于 2021-06-21 17:18:44 发布
阅读量417 收藏
点赞数
分类专栏: TOMCAT7 文章标签: tomcat7 SSL HTTPS OPENSSL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daoyongyu/article/details/84531878
版权
因为在项目中要使用HTTPS,所以参考了网上的很多文章,终于将环境配置好了,在此做个记录,给有需要的同学,少走弯路。

我的环境:WIN7 64位 +TOMCAT7 + OPENSSL1.0f
1. 首先安装OPENSSL1.0f软件及其依赖的软件,这个软件是别人编译好的,不需要自己编
译。我们主要是使用OPenSSL软件生成证书等信息,其它两个软件是OpenSSL运行时需
要。OPENSSL安装完成后,一般是在C盘,如我电脑上安装在C:\OpenSSL-Win64目录
中。注意我的操作系统是64位的,所以需要64位软件,如果是32位的系统,请下载相应的
软件。
Win64OpenSSL-1_0_1f.exe,
ActivePerl-5.16.3.1603-MSWin32-x64-296746.msi,
vcredist_x64.exe

2. 用管理员身份运行CMD命令, 进入到C:\OpenSSL-Win64\bin目录,执行openssl.exe
命令,或者直接以管理员身份运行openssl.exe。

3. 首先要生成服务器端的私钥(key文件): 
genrsa -des3 -out server.key 1024


4. 生成证书请求csr文件,交给CA签名后形成服务端自己的证书 
req -new -key server.key -out server.csr -config 
   openssl.cfg

5. CSR文件必须有CA的签名才可形成证书.OPENSSL可以生成自己的CA证书 
req -new -x509 -keyout ca.key -out ca.crt -config openssl.cfg


6. 用生成的CA的证书为刚才生成的server.csr文件签名 
ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cfg


使用CA签名时,需要做一些准备工作,当我们安装完成OPENSSL时,在安装目录下的bin\PEM目录中有一个demoCA目录,如我本机的demoCA的路径为:C:\OpenSSL-Win64\bin\PEM\demoCA,请将整个目录拷贝到bin目录中,如我本机的目录为:C:\OpenSSL-Win64\bin\demoCA,并在demoCA目录中建立一个newcerts目录,我本机的地址为:
C:\OpenSSL-Win64\bin\demoCA\newcerts。

生成证书以后,就可以将其放到tomcat7/conf的目录下(建议),并修改conf/server.xml配置文件,在windows下部署修改如下: 


<Connector port="8443" maxHttpHeaderSize="8192"  
                 maxThreads="150"
                 enableLookups="false" disableUploadTimeout="true"
                 acceptCount="100" scheme="https" secure="true"
                 SSLEnabled="true"
                 SSLCertificateFile="${catalina.base}/conf/server.crt"
                 SSLCertificateKeyFile="${catalina.base}/conf/server.key" 
				 SSLPassword="password"/>


如果是单个工程需要https访问,修改工程中的web.xml文件,增加如下内容: 
<!-- 增加ssl请求 -->
	<login-config>
		<!-- 认证方式基于客户端证书-->
	<auth-method>CLIENT-CERT</auth-method>
	<realm-name>Client Cert Users-only Area</realm-name>
	</login-config>
	<security-constraint>
		<!-- 此元素确定应该保护的资源 -->
		<web-resource-collection>
			<web-resource-name>SSL</web-resource-name>
	 <!-- url-pattern适用于直接访问这些资源的客户机,不适用于转发-->
			<url-pattern>/*</url-pattern>
		</web-resource-collection>
		<!-- 访问相关资源时使用任何传输层保护 -->
		<user-data-constraint>

	<transport-guarantee>CONFIDENTIAL</transport-guarantee>
		</user-data-constraint>
	</security-constraint>



在LIUNX下部署会有一些区别,首先要将证书和密钥放入到密码库中,并且密码库的格式必须是JDK可以识别的,因为我们直接用的是OPENSSL生成的密钥和证书,所以先将执行如下命令,将密钥和证书放入到pkcs12的证书文件中。
7.创建server端的pkcs12文件 
pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name demo_server

注意-name demo_server,这个是指定keystore的别名。

8.转换pkcs12为JKS keystore文件,这个过程需要用到jetty.jar, 在命令行中执行如下JAVA命令,切记要使用管理员身份运行cmd命令。 

java org.mortbay.util.PKCS12Import server.p12  server.jks


生成server.jks后,就可以将其放到tomcat7/conf的目录下(建议),并修改conf/server.xml配置文件如下: 
<Connector port="8443" protocol="HTTP/1.1"
	             maxHttpHeaderSize="8192"  
                 maxThreads="150"
                 enableLookups="false" disableUploadTimeout="true"
                 acceptCount="100" scheme="https" secure="true"
                 SSLEnabled="true"
                 keystoreFile="/opt/apache-tomcat7.0.42/conf/server.jks" 
	        keystorePass="password"/>


protocol属性的取值很重要,如果修改为其它值,可能使用OPENSSL软件生成的密钥库文件就不支持,需要使用JDK命令生成的密钥库。
好了,通过https://localhost:8443端口访问,看是否可以显示tomcat首页。

相应的软件我已经上传到百度云上面。此处不能上传超过10M的软件。
[url]http://pan.baidu.com/share/link?shareid=1291566681&uk=3339208821[/url]
iloveprogramme12
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openSSL创建证书,然后在tomcat上配置https使用
qq965194745的博客
12-12 2943
openSSL创建证书OpenSSL功能远胜于KeyTool,可用于根证书,服务器证书和客户证书的管理下面给出如何用OpenSSL创建自己签名的证书,这个证书可以做为SSL服务器的证书。Git在安装时,会自动安装 OpeenSSL软件包。通过执行 Git下面的 Bash 命令在命令行窗口中输入 openssl命令可以进行 Openssl操作界面:openssl 命令创建私钥下面命令会生成 2048
tomcat配置https证书,keytool生成证书openssl生成证书
taxuexunmeixi的专栏
12-31 782
一、keytool生成tomcat配置https证书 1、tomcat服务器端证书生成 keytool -genkey -v -alias tomcat -keyalg RSA -keystore tomcat.keystore -validity 3650 -storepass ****** -validity 3650 证书有效期,36500表示10年,默认值是90天 -storepass 指定密码 名字与姓氏;要填写主机名或者域名,其他配置项任意填写 2、利用list命令查看证书信息,可以
通过openssl生成nginx和tomcat的https通讯双向证书
在JAVA的世界中“乘风破浪”
03-12 1011
前提:nginx作为服务端,java httpclient作为客户端nginx需要增加nginx ssl的模块:./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-openssl=/usr/local/openssl此时,可能还需要解决make时,ope...
openssl + tomcat 配置https
likeyoutoo的专栏
10-23 9339
转载自:http://blog.csdn.net/gtuu0123/article/details/5827818 双向认证:客户端向服务器发送消息,首先把消息用客户端证书加密然后连同时把客户端证书一起发送到服务器端,服务器接到消息后用首先用客户端证书把消息解密,然后用服务器私钥把消息加密,把服务器证书和消息一起发送到客户端,客户端用发来的服务器证书对消息进行解密,然后用服务器的
openSSL制作证书并在tomcat上配置
05-21
自己学习openSSL的一些总结,很初步,希望能够帮助到跟我一样刚刚开始接触openSSL的朋友,很浅显,我也是初学者,希望大家不要见笑。
openssl+tomcat7使用简明笔记
会飞的石头
02-20 966
openssl+tomcat7使用简明笔记
openSSL生成证书以及在tomcat下的配置
05-21
"openSSL生成证书以及在tomcat下的配置" openSSL是目前最流行的开源加密库之一,它提供了安全的数据传输和认证机制。在Web应用程序中,openSSL广泛应用于生成数字证书和私钥,从而确保数据的安全传输。今天,我们将...
openssl生成ca证书tomcat发布https服务
chengzi200878的博客
06-12 1284
一、数字证书准备 在本地配置的时候,路径不同,注意修改过来关于数字证书部分我是用openssl做的,也是个开源的软件,前不久刚刚发布了1.0版本(做了11年才正式发布,由衷的佩服,老外真是有股哏劲)。网上很多文章介绍用java自带的keytool命令完成,我没有试过,不过看文章介绍好像keytool没有CA认证的功能。下面开始数字证书相关操作。1. 下载、安装openssl(好像是废话) Open...
TOMCAT7+openssl搭建局域网自签名https服务器
kris1122的博客
02-16 2080
生成客户端证书 openssl genrsa -out ca\myCA.key 2048 openssl req -x509 -new -key ca\myCA.key -out ca\myCA.cer -days 700 -subj /CN="szlanyou" 生成 服务端证书 openssl genrsa -out ca\server.key 2048 openssl req -n
Tomcat 7 配置 SSL.
joesmart
05-16 338
 Tomcat 配置 SSL   说明: 配置的是Tomcat 7 的JSSE  Connector,对于配置APR请继续Google.   配置流程: 一.Tomcat 服务端SSL认证配置. 1.配置一个CA证书(如果直接使用授权认证机构本步骤可以跳过)    1.)生成CA私有密钥  (红色标记为CA 私有密钥的验证密码下面很多地方会用到)   openssl genrs...
Java+Tomcat黄金系列之二:Win10直接安装OpenSSL
06-30
我将亲手带领您安装OpenSSL,并学习理论:1、Win10直接安装OpenSSL(不用编译源码) 2、SSLOpenSSL的理论学习:数字签名、数字证书、rsa加密 3、OpenSSL心脏出血严重漏洞与解决方案   ------------------------------------------------------------------- 音视频是一门很复杂的技术,涉及的概念、原理、理论非常多,很多初学者不学基础理论,而是直接做项目,往往会看到c/c++的代码时一头雾水,不知道代码到底是什么意思,这是为什么呢?   因为没有学习音视频的基础理论,就比如学习英语,不学习基本单词,而是天天听英语新闻,总也听不懂。 所以呢,一定要认真学习基础理论,然后再学习播放器、转码器、非编、流媒体直播、视频监控、等等。   梅老师从事音视频与流媒体行业18年;曾在永新视博、中科大洋、百度、美国Harris广播事业部等公司就职,经验丰富;曾亲手主导广电直播全套项目,精通h.264/h.265/aac,曾亲自参与百度app上的网页播放器等实战产品。   目前全身心自主创业,主要聚焦音视频+流媒
openssl for windows tomcat
zlbabe的专栏
08-25 257
  ------------------- openssl for windows -------------------   一、生成CA证书 1.生成私钥 openssl genrsa -des3 -out ca.key   2.创建证书请求 openssl req -new -out ca.csr -key ca.key -config openssl.cnf   3...
Linux生成Tomcat SSL协议的证书
很大森的博客
06-21 793
生成证书 进入到Tomcat的conf目录下 在Tomcat的conf目录下输入生成证书命令 keytool -genkey -alias tomcat -keyalg RSA -validity 3600 -keystore .keystore 参数详解 keytool -genkey:自动使用默认的算法生成公钥和私钥 alias[名称]:给证书取个别名 keyalg:制定密钥的算法,如果需要制定密钥的长度,可以再加上keysize参数,密钥长度默认为1024位,使用DSA算法时,密钥长度必须在5
linux下Tomcat配置SSL证书
qq_45019814的博客
05-20 1305
首先下载apr #tar xvzf apr-1.5.2.tar.gz // 解压apr-1.5.2.tar.gz #cd apr-1.5.2 // 进入apr-1.5.2目录 #./configure –prefix=/opt/apr // 指定安装到/opt/apr目录 make&&make install (注:tomcat配置https访问,需要制作证书。) 在tomcat目录下创建sslkey文件夹,用来保存证书 制作证书,命令: keytool -genkey -v -al
tomcat7.0 + openssl 构建IOS7.1无线安装ipa环境
clwahaha的专栏
07-15 2686
最主要的工作其实就是证书配置
tomcat部署https,用openssl签发证书
龙龟的文具盒
05-26 5405
常见后缀cer,crt证书(不支持私钥) 一般是签署后CA颁发的证书,实质是CA用私钥在申请者的公钥上签名 —–BEGIN CERTIFICATE—–csr:(Certificate Signing Request) 申请签名的证书请求 –-BEGIN NEW CERTIFICATE REQUEST–pfx,p12:(Personal Information Exchange) 存储证书和私
centos 安装tomcat_Linunx开发环境配置——Tomcat
weixin_39715348的博客
11-23 93
步骤 : 1. 解压缩到/opt2. 启动tomcat ./startup.sh 先进入到tomcat的bin目录:启动tomcat服务后,我们在Linux自带的火狐浏览器上访问:http://localhost:8080是可以访问tomcat的但是在Windows的浏览器上却访问http:192.168.80.130:8080访问失败,我们之所以在Windows上访问不到,是因为Linu...
OpenSSL/Tomcat HTTPS 搭建
weixin_34124939的博客
05-11 308
总结一下 OpenSSL和Tomcat https的搭建第一部分:首先是看看 OpenSSL的搞法:创建证书的步骤:(1)生成私钥(2)生成待签名证书(3)生成x509证书, 用CA私钥进行签名(4)导成浏览器支持的p12格式证书一:生成CA证书CA 1. 创建私钥 :openssl genrsa -ges3 -out ca-key.pem 2048 -sha2562....
使用openssl生成证书后部署在Tomcat
最新发布
06-09
在 Tomcat 中部署使用自签名证书时,需要执行以下步骤: 1. 将私钥和证书合并成一个 PKCS12 格式文件 使用 OpenSSL 库可以将私钥和证书合并成一个 PKCS12 格式文件,可以通过以下命令: ``` openssl pkcs12 -export -in certificate.pem -inkey privateKey.pem -out certificate.p12 -name "tomcat-cert" ``` 这将使用证书 `certificate.pem` 和私钥 `privateKey.pem` 生成一个 PKCS12 格式文件,并将其保存到名为 `certificate.p12` 的文件中。在这个例子中,我们将别名设置为 `tomcat-cert`。 在执行此命令时,需要输入一个密码以保护私钥和证书文件。 2. 将 PKCS12 文件复制到 Tomcat 的 conf 目录中 将生成的 PKCS12 文件 `certificate.p12` 复制到 Tomcat 的 `conf` 目录中。 3. 配置 Tomcat 的 server.xml 文件 打开 Tomcat 的 `conf/server.xml` 文件,找到以下配置: ``` <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" ... /> ``` 将其修改为以下配置: ``` <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="${catalina.home}/conf/certificate.p12" keystoreType="PKCS12" keystorePass="your_password" alias="tomcat-cert" /> ``` 其中,`keystoreFile` 指定 PKCS12 文件的路径,`keystoreType` 设置为 PKCS12,`keystorePass` 是生成 PKCS12 文件时设置的密码,`alias` 是用于识别证书和私钥的别名。 4. 重新启动 Tomcat 重新启动 Tomcat,然后使用浏览器访问 `https://localhost:8443`,你应该可以看到使用自签名证书的 Tomcat 主页。在访问时,浏览器可能会显示警告,因为自签名证书不被认为是可信的。你可以选择信任该证书并继续访问。 注意:在生产环境中,你应该使用 CA 颁发的证书,以确保通信的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值