Tomcat6配置SSL的方法

最新推荐文章于 2018-06-13 22:50:34 发布
最新推荐文章于 2018-06-13 22:50:34 发布
阅读量427 收藏
点赞数
分类专栏: Tomcat 文章标签: tomcat scheme ssl server 服务器 jvm

因为做项目测试的时候,用到了https,所以现在需要在tomcat中配置SSL。

 

tomcat6配置双向认证 

 

1、生成服务器端证书 

 

view plaincopy to clipboardprint?

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650  

 

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650view plaincopy to clipboardprint?

<BR>2、生成客户端证书 <BR>  

 

2、生成客户端证书 view plaincopy to clipboardprint?

keytool -genkey -keyalg RSA -dname "cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650  

 

keytool -genkey -keyalg RSA -dname "cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650

客户端的CN可以是任意值。 

3、由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件,使用如下命令,先把客户端证书导出为一个单独的cer文件:

 

view plaincopy to clipboardprint?

keytool -export -alias custom -file custom.cer -keystore  custom.p12 -storepass password -storetype PKCS12 -rfc  

 

keytool -export -alias custom -file custom.cer -keystore  custom.p12 -storepass password -storetype PKCS12 -rfc

然后,添加客户端证书到服务器中(将已签名数字证书导入密钥库)

 

view plaincopy to clipboardprint?

keytool -import -v -alias custom -file custom.cer -keystore  server.jks -storepass password  

 

keytool -import -v -alias custom -file custom.cer -keystore  server.jks -storepass password

4、查看证书内容

 

view plaincopy to clipboardprint?

keytool -list -v -keystore server.jks -storepass password  

 

keytool -list -v -keystore server.jks -storepass password

5、配置tomcat service.xml文件

 

view plaincopy to clipboardprint?

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  

    maxThreads="150" scheme="https" secure="true"  

    clientAuth="true" sslProtocol="TLS"  

    keystoreFile="D:/server.jks" keystorePass="password"  

    truststoreFile="D:/server.jks" truststorePass="password"  

/>  

 

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

    maxThreads="150" scheme="https" secure="true"

    clientAuth="true" sslProtocol="TLS"

    keystoreFile="D:/server.jks" keystorePass="password"

    truststoreFile="D:/server.jks" truststorePass="password"

/>

clientAuth="true"表示双向认证 

6、导入客户端证书到浏览器 

双向认证需要强制验证客户端证书。双击“custom.p12”即可将证书导入至IE 

 

7、修改应用的web.xml,使其自动启用SSL

 

<login-config>

 <auth-method>CLIENT-CERT</auth-method>

 <realm-name>Client Cert Users-only Area</realm-name>

</login-config>

<security-constraint>

 <web-resource-collection>

  <web-resource-name>SSL</web-resource-name>

  <url-pattern>/*</url-pattern>

 </web-resource-collection>

 <user-data-constraint>

  <transport-guarantee>CONFIDENTIAL</transport-guarantee>

 </user-data-constraint>

</security-constraint> 

 

 

tomcat6配置单向认证 

 

1、生成服务器端证书

 

view plaincopy to clipboardprint?

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650  

 

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650

2、由于是单向认证,没有必要生成客户端的证书,直接进入配置tomcat service.xml文件

 

view plaincopy to clipboardprint?

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  

    maxThreads="150" scheme="https" secure="true"  

    clientAuth="false" sslProtocol="TLS"  

    keystoreFile="D:/server.jks" keystorePass="password"       

/>  

 

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

    maxThreads="150" scheme="https" secure="true"

    clientAuth="false" sslProtocol="TLS"

    keystoreFile="D:/server.jks" keystorePass="password"    

/>

clientAuth="false"表示单向认证,同时去掉truststoreFile="D:/server.jks" truststorePass="password"这2个属性

 

PS:用https://localhost:8443测试,之前一直不成功,是因为配置的时候,用了eclipse启动的。之后虽然修改了server.xml文件,但是一直就是报异常,说connceted refused。后来将server删除,重新生成就可以了。

 

另附:双向认证的批处理文件,用记事本编辑,文件后缀改为.bat

 

set local_driver=%cd:~0,2%

set local_path=%cd%

 

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650

 

keytool -genkey -keyalg RSA -dname "cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650

 

keytool -export -alias custom -file custom.cer -keystore  custom.p12 -storepass password -storetype PKCS12 -rfc

 

keytool -import -v -alias custom -file custom.cer -keystore  server.jks -storepass password

 

keytool -list -v -keystore server.jks -storepass password

 

%local_driver%

cd %local_path%

 

pause 

 

有一些其它的选项配置SSL协议。你可能需要增加或改变下面的属性值,取决于你开始对keystore的配置

 

clientAuth

 如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书,置该值为true。 

keystoreFile

 如果创建的keystore文件不在Tomcat认为的缺省位置(一个在Tomcat运行的home目录下的叫.keystore的文件),则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。

 

keystorePass

 如果使用了一个与Tomcat预期不同的keystore(和证书)密码(changeit),则加入该属性。 

keystoreType

 如果使用了一个PKCS12 keystore,加入该属性。有效值是JKS和PKCS12。 

sslProtocol

 socket使用的加密/解密协议。如果使用的是Sun的JVM,则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下,使用SSL。 

ciphers

 此socket允许使用的被逗号分隔的密码列表。缺省情况下,可以使用任何可用的密码。 

algorithm

 使用的X509算法。缺省为Sun的实现(SunX509)。对于IBM JVMS应该使用ibmX509。对于其它JVM,参考JVM文档取正确的值。 

truststoreFile

 用来验证客户证书的TrustStore文件。 

truststorePass

 访问TrustStore使用的密码。缺省值是keystorePass。 

truststoreType

 如果使用一个不同于正在使用的KeyStore的TrustStore格式,加入该属性。有效值是JKS和PKCS12。 

 

 

在Java中取得证书内容:

 

1 X509Certificate[] certChain=(X509Certificate[])request  

 

 

2         .getAttribute("javax.servlet.request.X509Certificate");  

 

3 int len=certChain.length;  

 

4 if (len>0){  

 

5     X509Certificate cert = (X509Certificate)certChain[0];  

6     Principal subject = cert.getSubjectDN();  

 

7     String certSubject = subject.getName();  

 

Double
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat6.X SSL配置(转)
xy_mouse的博客
12-11 139
1. 概述 通常,在安全网络通信中会启用SSL(Secure Socket Layer)来保护交互数据的安全性,由于SSL是认证型协议(通信双方或一方需要出示安全认证证书才可以建立连接),所以会涉及到数字证书及证书认证的内容。 对于Tomcat服务器来说,通过HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议来构建安全的HTTP...
tomcat6+SSL配置
jasonking412的专栏
09-14 203
一、准备工作 1). 安装JDK 1.5 或更高版本, 并配置JAVA_HOME 环境变量; 2). 安装tomcat 6 ; 二、配置过程 1.生成 server key : 以命令行方式切换到目录%tomcat_HOME%,在command命令行输入如下命令(jdk1. 一、准备工作     1). 安装JDK 1.5 或更高版本, 并配置JAVA_HOME 环境变量;     2)...
Tomcat6.0 SSL配置
黑鹰
06-19 585
http://blog.163.com/haizai219@126/blog/static/44412555200962733028452/   1. 参考: Tomcat 6.0 自带的文档docs/ssl-howto.html,详细介绍了配置过程。 2. 目的:        以下详细描述配置过程,仅作为备忘录。 3. 备忘录: Step1,安装tomcat 6.0.1
Tomcat6配置使用SSL双向认证
Magicbreaker的专栏
11-05 1011
最近要做一个登录时数字证书验证的功能,在用户登录时除了效验用户名密码,还需验证其数字证书。 相关资源:IBM developerWroks中国中的tomcat4中使用SSL,javaeye中的Acegi X.509双向认证 与tomcat4中使用SSL中的异同:jdk1.4中已经包含JSSE。 与AcegiX.509双向认证中的异同:tomcat6配置文件多了SSLEnabled="true"
Tomcat6配置SSL
evaima的专栏
02-11 302
项目中需要使用SSL,具体如下: 1 使用dos命令生成密钥文件 keytool -genkey -alias evaima -keyalg RSA -keystore evaima.keystore evaima 可以改为自己想要使用的名称 dos窗口显示如下: 输入keystore密码: 再次输入新密码: 您的名字与姓氏是什么? [Unknown]: evaima --...
Tomcat配置SSL证书的方法
01-10
一、先使用JDK自带的加密工具...在tomcat的安装根目录下新建文件夹ssl,将秘钥文件复制到该文件夹中,打开conf文件夹下的server.xml文件,将找到下面的一段注释掉的内容: <!-- <Connector port=8443 protocol=
tomcat6.0.6进行ssl配置
06-12
Tomcat 6.0.6 进行 SSL 配置 Tomcat 6.0.6 是一个流行的 Web 服务器软件,它提供了很多强大的功能,包括 SSL 配置SSL 配置Tomcat 服务器的安全配置之一,它可以确保在浏览器和服务器之间的数据传输是安全的。 ...
Windows下tomcat6配置https(SSL)
sjy_2010的专栏
09-12 284
一、使用JDK1.6的keytool命令生成keystore文件,命令如下: %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA -keystore /path/keystore 如下图:[img]http://dl2.iteye.com/upload/attachment/0089/2318/661d74d8-c87f-...
tomcat6启用SSL_证书_tomcat6ssl_Tomcat6SSL;_
10-01
Tomcat6开启SSL配置的详细说明,及服务器生成证书
Tomcat6 SSL配置文档
04-01
NULL 博文链接:https://xuzhfa123.iteye.com/blog/1405765
tomcat ssl 配置
jgwei的专栏
12-18 793
这种方式配置ssl, 深圳客户访问速度正常, 超出以为印象, 以前都感觉ssl配置了以后, 都觉的速度很慢。 本教程使用 JDK 6 和 Tomcat 7,其他版本类似。 基本步骤: 使用 java 创建一个 keystore 文件配置 Tomcat 以使用该 keystore 文件测试 配置应用以便使用 SSL ,例如 https://localhost:8443
tomcat6 配置HTTPS
ALONEWOLF2009的博客
06-13 2285
JDK 版本对TLS的支持情况:腾讯云证书配置:https://cloud.tencent.com/document/product/400/6973阿里云证书配置:安装证书Tomcat支持JKS格式证书,从Tomcat7开始也支持PFX格式证书,两种证书格式任选其一。文件说明:1. 证书文件1530207333171.pem,包含两段内容,请不要删除任何一段内容。2. 如果是证书系统创建的CSR...
tomcat如何配置ssl证书
最新发布
09-24
Tomcat配置SSL证书可以按照以下步骤进行操作: 1. 打开Tomcat服务器的安装目录,找到其中的“server.xml”文件。 2. 在“server.xml”文件中找到以下参数:<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true"> <SSLHostConfig> <Certificate certificateKeystoreFile="conf/localhost-rsa.jks" type="RSA" /> </SSLHostConfig> </Connector> 3. 将上述参数替换为以下内容:<Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="C:/rogram Files/Apache Software Foundation/Tomcat 9.0/conf/tomcat.keystore" keystorePass="123456" clientAuth="false" sslProtocol="TLS"/> 4. 保存“server.xml”文件,并重启Tomcat服务器。 完成以上步骤后,Tomcat服务器将会使用配置SSL证书进行安全通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值