tomcat系列-05-HTTPS支持-私有CA颁发证书

最新推荐文章于 2023-05-11 13:33:12 发布
最新推荐文章于 2023-05-11 13:33:12 发布
阅读量1.7k 收藏
点赞数
分类专栏: tomcat 安全 文章标签: https tomcat 私钥CA APR openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hylexus/article/details/53146023
版权

前言

本篇将介绍在自己创建的私有CA下,tomcat启用SSL/TLS支持。

私钥CA除了在内网中使用,我还真不知道有什么其他用处………………

至于SSL/TSL不熟悉的请自行百度或者看本人其他文章:

常见加密类型及通信安全:http://blog.csdn.net/hylexus/article/details/53048305
SSL、openSSL、CA:http://blog.csdn.net/hylexus/article/details/53058135

对于本篇文章来说,或许,我们只需要知道:TLS(Transport Layer Layer)和他的前生SSL(Secure Socket Layer)是一种浏览器和服务器之间安全通信的技术。就够了吧。

在tomcat中启用SLL/TLS支持,至少有两种方式(以下两种叫法并不是专业术语):

  • APR类型的Connector下启用HTTPS
  • BIO/NIO类型的Connector下启用HTTPS

对于这几种Connector不熟悉的,可以参考本人另一篇介绍APR的文章:http://blog.csdn.net/hylexus/article/details/53137721

Tomcat currently operates only on JKS, PKCS11 or PKCS12 format keystores. The JKS format is Java’s standard “Java KeyStore” format, and is the format created by the keytool command-line utility. This tool is included in the JDK. The PKCS12 format is an internet standard, and can be manipulated via (among other things) OpenSSL and Microsoft’s Key-Manager.

由以上这段来自tomcat官方文档的介绍可知:

  • tomcat目前支持JKS, PKCS11 或 PKCS12格式的keystore
  • JKS是java标准的秘钥管理格式,通过java内置的命令keytool来操作
  • PKCS是互联网通用的格式,可以用openssl或微软的Key-Manager来操作

下文就这两种(keytool和openssl)方式来实现tomcat对HTTPS的支持

1 基于keytool实现

1.1 生成自签署证书

# 此处本人在目录D:\java-env\apache-tomcat-7-80\ssl\ks下操作
keytool -genkeypair \
    -alias tomcat \
    -keyalg rsa \
    -keysize 2048 \
    -validity 365 \
    -keystore keystore
# 此处将keystore的位置指定为:D:\java-env\apache-tomcat-7-80\ssl\ks\keystore

1.2 配置tomcat

此处使用NIO类型的Connector

<Connector
       protocol="org.apache.coyote.http11.Http11NioProtocol"
       port="8443" maxThreads="200"
       scheme="https" secure="true" SSLEnabled="true"
       keystoreFile="${catalina.home}/ssl/ks/keystore" keystorePass="123456"
       clientAuth="false" sslProtocol="TLS"/>

1.3 效果

不受信任的证书

2 基于openssl实现

2.1 将自己的机器配置为私有CA

这部分参加本人另一篇文章: http://blog.csdn.net/hylexus/article/details/53058135#4-openssl实现私有ca

2.2 生成CSR

此处本人在tomcat安装目录下新建ssl目录,在ssl目录中操作

# 生成私钥tomcat.key
[root@hylexus ssl]# (umask 077;openssl genrsa -out tomcat.key 2048)
# .....


# 生成证书颁发请求tomcat.csr
[root@hylexus ssl]# openssl req -new -key tomcat.key -out tomcat.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [ShangHai]:
Locality Name (eg, city) [ShangHai]:
Organization Name (eg, company) [Default Company Ltd]:KKBC
Organizational Unit Name (eg, section) [dev]:
Common Name (eg, your name or your server's hostname) []:test.com
Email Address []:hylexus@163.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

2.3 私有CA颁发证书

此处由于CA是我们自己的私钥CA,和应用程序在同一台主机上。所以直接签署即可:

openssl ca -in tomcat.csr -out tomcat.crt -days 365

至此,看看我们的ssl目录:

[root@hylexus ssl]# tree
.
├── tomcat.crt # 2.3步骤中生成的证书
├── tomcat.csr # 2.2步骤中生成的证书颁发请求
└── tomcat.key # 2.2步骤中生成的应用程序的私钥

2.4 配置tomcat

2.4.1 基于APR-Connector的配置

前提是要启用APR,可以参考:http://blog.csdn.net/hylexus/article/details/53137721

<Connector
       protocol="org.apache.coyote.http11.Http11AprProtocol"
       port="8443" maxThreads="200"
       scheme="https" secure="true" SSLEnabled="true"
       SSLCertificateFile="${catalina.base}/ssl/tomcat.crt"
       SSLCertificateKeyFile="${catalina.base}/ssl/tomcat.key"
       SSLVerifyClient="optional" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"/>

2.4.2 基于NIO/BIO-Connector的配置

此处还是在tomcat安装目录下新建的ssl目录下操作:

  • 1) 生成私钥和keystore
# 放置于tomcat安装目录的ssl目录下的ks文件中
keytool -genkeypair -keyalg rsa -keysize 2048 -keystore ks
  • 2) 将私钥CA自己的证书导入到keystore(ks)中
keytool -importcert \
    # 这个文件是私钥CA自己的证书并不是私钥CA颁发给tomcat的证书
    -file /etc/pki/CA/cacert.pem \
    -alias my_ca \ # 起名
    -keystore ./ks \ # 导入到${catalina.home}/ssl/ks文件中
    -trustcacerts
  • 3) 将私钥CA颁发给tomcat的证书导入同一个keystore(ks)
keytool -importcert \
    -file tomcat.crt \ # 这个是私钥CA颁发给tomcat的证书
    -alias tomcat_crt \
    -keystore ./ks \
    -trustcacerts
  • 4) 配置server.xml

NIO-Connector配置

<Connector
       protocol="org.apache.coyote.http11.Http11NioProtocol"
       port="8443" maxThreads="200"
       scheme="https" secure="true" SSLEnabled="true"
       keystoreFile="${catalina.home}/ssl/ks" keystorePass="123456"
       clientAuth="false" sslProtocol="TLS"/>

BIO-Connector配置

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
           connectionTimeout="20000" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="${catalina.home}/ssl/ks" keystorePass="123456"
           />

2.5 效果

此处注意修改hosts文件,我们在CSR中写的域名是test.com

不受信任的证书

参考文章

http://tomcat.apache.org/tomcat-7.0-doc/config/http.html#Special_Features
http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html
http://docs.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html

hylexus
关注
专栏目录
tomcat配置https,开启双向认证,第三方ca颁发可信证书
luoni186的专栏
06-09 1749
RSA不同服务器需要配置:keystore.jks是私钥证书库,cacerts.jks是信任库。而一般我们生成一个keystore.jks就行,包含服务器密钥证书、和信任链证书,是两个证书保持一样。 1.生成对应我们需要的jks文件: 其中s1as使我们要配置的服务器含有私钥证书,365是有效期单位天,keyalg申请的整数类型,keysize秘钥长度,keypass使我们服务器证书密码,-storepass对应我们生成jks文件的密码,-dname是我们后面生成证书的主题,这个要和ca给我们办法
CAS单点登录【1】-理论(cas架构、https、SSL、TLS、非对称加密、证书CA、握手)、OpenSSLcas(认证、指定加密策略)
LawssssCat的博客
03-12 1689
sso(Single Sign On) 单点登录 cas(Central Authentication Service) 中央认证服务 cas 默认在 httpsHTTPS:HTTP + SSL HTTP (HyperText Transfer Protocol) 超文本传输协议 SSL(Secure Sockets Layer) 安全接口层 ...
TomcatTomcat配置https(免费证书
小啊宇的博客
01-25 9529
记一次因各种需求在Linux中配置tomcathttps自签发证书过程: SSL证书简介 1.公开可信认证机构 例如CA,但是申请一般是收费的,一般几百到几千一年. 在这里可以给你们介绍一下腾讯云截止到目前还有免费一年的CA证书服务,可以用一下。 2.自己生成 虽然安全性不是那么高,但胜在成本低,我目前只是做个测试,所以这篇文章里讲的是自生成的。 证书配置过程 1.环境准备 为了成功配置https,你需要具备以下环境: java jdk tomcat 2.JKS格式证书生成 1).打开你的终端或者命令行,
tomcat生成证书
08-29
tomcat生成证书步骤,CA客户端证书导入,附带图片详细介绍
Tomcat配置http强制跳转https
ClearLoveQ的博客
10-11 788
在web.xml文件的最后一个标签下添加 在welcome-file-list标签后加入 <login-config> <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name&g
生成泛域名的tomcat私有证书
简简单单,平平淡淡
03-02 1169
生成泛域名的私有证书 1.生成 720的 windtrend 的keystore 保存在 d:\keystore 内,密码为123456,使用RSA算法 keytool -genkey -alias *.windtrend.com -keyalg RSA   -keystore d:\keystore\windtrend.keystore -dname "CN=*.windtrend.com,
使用CA签发的服务器证书搭建Tomcat双向SSL认证服务
lucet的成长之路
10-05 1538
第一部分,先说证书的申请。 这步是要到正规的CA公司申请正式的设备证书必须走的步骤。 1、先生成证书的密钥对 打开命令行,切换到某个自己新建的目录下,执行如下命令 keytool -genkey -keyalg RSA -keysize 1024 -dname “CN=w
Tomcat颁布自定义SSL(Https)证书
weixin_44710155的博客
08-12 306
validity:表示有效期,以天为单位,这是100年(365天*100),可以不填写,不填写默认有限期是90天,生成文件在当前目录下。在浏览器输入https:127.0.0.1:端口号。在文件加入(注意标红部分)
私有CA搭建并应用于Tomcat、Springboot.docx
12-17
在实际环境中,私有CA不仅适用于Tomcat和Springboot,还可以应用于其他需要SSL认证的组件,如Zookeeper、Kafka、Nginx等。确保所有服务使用一致的证书CA,可以统一管理和验证,提高安全性。 总结起来,私有CA的...
私有CA搭建与多应用集成:Tomcat、Springboot HTTPS实践
本文档主要介绍了如何在IT环境中搭建并应用私有CA(Certificate Authority)到Tomcat和Springboot系统中,以实现更有效的HTTPS安全通信。私有CA作为证书签发机构,简化了多服务之间的SSL/TLS证书管理,避免了频繁的...
tomcat证书制作
04-22
cacerts包含了Java信任的CA证书颁发机构)证书列表,这些证书用于在SSL/TLS通信中进行证书认证。 6. 证书的准备工作:需要先检查是否已经创建过同名的证书,并且如果有必要,删除已经存在的证书。 7. 创建服务器...
weblogic配置ssl证书支持https协议
weixin_44592497的博客
01-21 6463
weblogic项目,自动生成ssl证书,http转换成https协议 HTTPS和HTTP的区别主要如下: 1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。 2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。 3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。 4、http的连接很简...
Tomcat 配置 HTTPS 证书
weixin_42256765的博客
11-02 1062
Tomcat 配置 HTTPS 证书证书简介安装证书强制跳转 证书简介   HTTPS 是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。   配置HTTPS就需要证书,关于证书方面不做过多解释,只介绍大概情况 : 证书通过权威的CA机构付费获得的证书才能被互联网承...
Tomcat: 配置https(第三方CA签发)
七侠镇莫小贝的同福客栈
11-13 504
版本:tomcat8,jdk1.7 1.制作jks #产生keystore keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore www.myweb.cn.jks -storepass password -keypass password -validit y 3650 #产生csr keytool -certr...
【自签名证书&私有CA签名证书
weixin_45693432的博客
03-06 589
3. 创建自签名证书(根据私钥和公钥生成自签名证书)
tomcat配置ca证书进行https访问
白马非马军的博客
09-26 749
内网Https 自签Https证书 配合Tomcat 实现内网Https详细图文
weixin_30294021的博客
07-02 1768
内网项目启用Https配置手册 软件需求: OpenSSLhttps://www.openssl.org/ 已经安装了Java Jdk环境 制作前的需求: 已经配置了Jdk环境变量 安装好OpenSSL后配置了环境变量 开始制作CA证书 在任意盘符(我这里选择G盘)下新建一个文件夹 这里我建立一个ca的文件夹用来存储生成的CA证...
openssl生成ca证书tomcat发布https服务
chengzi200878的博客
06-12 1313
一、数字证书准备 在本地配置的时候,路径不同,注意修改过来关于数字证书部分我是用openssl做的,也是个开源的软件,前不久刚刚发布了1.0版本(做了11年才正式发布,由衷的佩服,老外真是有股哏劲)。网上很多文章介绍用java自带的keytool命令完成,我没有试过,不过看文章介绍好像keytool没有CA认证的功能。下面开始数字证书相关操作。1. 下载、安装openssl(好像是废话) Open...
制作HTTPS私有证书HTTPS证书
最新发布
Mr_XiMu的博客
05-11 1030
制作HTTPS私有证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值