tomcat系列-05-HTTPS支持-私有CA颁发证书

最新推荐文章于 2023-07-06 23:52:28 发布
最新推荐文章于 2023-07-06 23:52:28 发布
阅读量1.7k 收藏
点赞数
分类专栏: tomcat 安全 文章标签: https tomcat 私钥CA APR openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hylexus/article/details/53146023
版权

前言

本篇将介绍在自己创建的私有CA下,tomcat启用SSL/TLS支持。

私钥CA除了在内网中使用,我还真不知道有什么其他用处………………

至于SSL/TSL不熟悉的请自行百度或者看本人其他文章:

常见加密类型及通信安全:http://blog.csdn.net/hylexus/article/details/53048305
SSL、openSSL、CA:http://blog.csdn.net/hylexus/article/details/53058135

对于本篇文章来说,或许,我们只需要知道:TLS(Transport Layer Layer)和他的前生SSL(Secure Socket Layer)是一种浏览器和服务器之间安全通信的技术。就够了吧。

在tomcat中启用SLL/TLS支持,至少有两种方式(以下两种叫法并不是专业术语):

  • APR类型的Connector下启用HTTPS
  • BIO/NIO类型的Connector下启用HTTPS

对于这几种Connector不熟悉的,可以参考本人另一篇介绍APR的文章:http://blog.csdn.net/hylexus/article/details/53137721

Tomcat currently operates only on JKS, PKCS11 or PKCS12 format keystores. The JKS format is Java’s standard “Java KeyStore” format, and is the format created by the keytool command-line utility. This tool is included in the JDK. The PKCS12 format is an internet standard, and can be manipulated via (among other things) OpenSSL and Microsoft’s Key-Manager.

由以上这段来自tomcat官方文档的介绍可知:

  • tomcat目前支持JKS, PKCS11 或 PKCS12格式的keystore
  • JKS是java标准的秘钥管理格式,通过java内置的命令keytool来操作
  • PKCS是互联网通用的格式,可以用openssl或微软的Key-Manager来操作

下文就这两种(keytool和openssl)方式来实现tomcat对HTTPS的支持

1 基于keytool实现

1.1 生成自签署证书

# 此处本人在目录D:\java-env\apache-tomcat-7-80\ssl\ks下操作
keytool -genkeypair \
    -alias tomcat \
    -keyalg rsa \
    -keysize 2048 \
    -validity 365 \
    -keystore keystore
# 此处将keystore的位置指定为:D:\java-env\apache-tomcat-7-80\ssl\ks\keystore

1.2 配置tomcat

此处使用NIO类型的Connector

<Connector
       protocol="org.apache.coyote.http11.Http11NioProtocol"
       port="8443" maxThreads="200"
       scheme="https" secure="true" SSLEnabled="true"
       keystoreFile="${catalina.home}/ssl/ks/keystore" keystorePass="123456"
       clientAuth="false" sslProtocol="TLS"/>

1.3 效果

不受信任的证书

2 基于openssl实现

2.1 将自己的机器配置为私有CA

这部分参加本人另一篇文章: http://blog.csdn.net/hylexus/article/details/53058135#4-openssl实现私有ca

2.2 生成CSR

此处本人在tomcat安装目录下新建ssl目录,在ssl目录中操作

# 生成私钥tomcat.key
[root@hylexus ssl]# (umask 077;openssl genrsa -out tomcat.key 2048)
# .....


# 生成证书颁发请求tomcat.csr
[root@hylexus ssl]# openssl req -new -key tomcat.key -out tomcat.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [ShangHai]:
Locality Name (eg, city) [ShangHai]:
Organization Name (eg, company) [Default Company Ltd]:KKBC
Organizational Unit Name (eg, section) [dev]:
Common Name (eg, your name or your server's hostname) []:test.com
Email Address []:hylexus@163.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

2.3 私有CA颁发证书

此处由于CA是我们自己的私钥CA,和应用程序在同一台主机上。所以直接签署即可:

openssl ca -in tomcat.csr -out tomcat.crt -days 365

至此,看看我们的ssl目录:

[root@hylexus ssl]# tree
.
├── tomcat.crt # 2.3步骤中生成的证书
├── tomcat.csr # 2.2步骤中生成的证书颁发请求
└── tomcat.key # 2.2步骤中生成的应用程序的私钥

2.4 配置tomcat

2.4.1 基于APR-Connector的配置

前提是要启用APR,可以参考:http://blog.csdn.net/hylexus/article/details/53137721

<Connector
       protocol="org.apache.coyote.http11.Http11AprProtocol"
       port="8443" maxThreads="200"
       scheme="https" secure="true" SSLEnabled="true"
       SSLCertificateFile="${catalina.base}/ssl/tomcat.crt"
       SSLCertificateKeyFile="${catalina.base}/ssl/tomcat.key"
       SSLVerifyClient="optional" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"/>

2.4.2 基于NIO/BIO-Connector的配置

此处还是在tomcat安装目录下新建的ssl目录下操作:

  • 1) 生成私钥和keystore
# 放置于tomcat安装目录的ssl目录下的ks文件中
keytool -genkeypair -keyalg rsa -keysize 2048 -keystore ks
  • 2) 将私钥CA自己的证书导入到keystore(ks)中
keytool -importcert \
    # 这个文件是私钥CA自己的证书并不是私钥CA颁发给tomcat的证书
    -file /etc/pki/CA/cacert.pem \
    -alias my_ca \ # 起名
    -keystore ./ks \ # 导入到${catalina.home}/ssl/ks文件中
    -trustcacerts
  • 3) 将私钥CA颁发给tomcat的证书导入同一个keystore(ks)
keytool -importcert \
    -file tomcat.crt \ # 这个是私钥CA颁发给tomcat的证书
    -alias tomcat_crt \
    -keystore ./ks \
    -trustcacerts
  • 4) 配置server.xml

NIO-Connector配置

<Connector
       protocol="org.apache.coyote.http11.Http11NioProtocol"
       port="8443" maxThreads="200"
       scheme="https" secure="true" SSLEnabled="true"
       keystoreFile="${catalina.home}/ssl/ks" keystorePass="123456"
       clientAuth="false" sslProtocol="TLS"/>

BIO-Connector配置

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
           connectionTimeout="20000" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="${catalina.home}/ssl/ks" keystorePass="123456"
           />

2.5 效果

此处注意修改hosts文件,我们在CSR中写的域名是test.com

不受信任的证书

参考文章

http://tomcat.apache.org/tomcat-7.0-doc/config/http.html#Special_Features
http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html
http://docs.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html

hylexus
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
32位tomcat-7.0.55 工具下载
08-25
由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定,而且免费,因而深受Java 爱好者的喜爱并得到了...
Tomcat颁布自定义SSL(Https)证书
weixin_44710155的博客
08-12 259
validity:表示有效期,以天为单位,这是100年(365天*100),可以不填写,不填写默认有限期是90天,生成文件在当前目录下。在浏览器输入https:127.0.0.1:端口号。在文件加入(注意标红部分)
Tomcat配置http强制跳转https
ClearLoveQ的博客
10-11 726
在web.xml文件的最后一个标签下添加 在welcome-file-list标签后加入 <login-config> <!-- Authorization setting for SSL --> <auth-method>CLIENT-CERT</auth-method> <realm-name>Client Cert Users-only Area</realm-name&g
Tomcat服务器上安装SSL证书
蓝易云
06-15 1062
通过按照上述步骤正确安装SSL证书并配置Tomcat服务器,您的网站将获得HTTPS连接,提供更安全的访问体验。这有助于提高您的网站在搜索引擎结果中的排名,并确保用户数据的保护。当在Tomcat服务器上安装SSL证书时,以下是一些步骤,这将有助于为您的网站提供安全的HTTPS连接。这些步骤将确保您的网站得到良好的SEO优化,提高其在搜索引擎结果页中的排名。化,确保网站在搜索引擎中正确索引并获得高质量的外部链接也是至关重要的。如果您之前生成了私钥文件,请跳至下一步。打开Tomcat服务器的配置文件。
Tomcat服务器配置ssl证书
qq_44194822的博客
07-06 3160
tomcat配置ssl证书,通过https访问,以及访问tomcat项目的时,将http从定向到https
实现内网https 内网部署https SpringBoot
qq_41650131的博客
06-13 4969
内网 部署 https springboot
tomcat-embed-el-9.0.16.jar
01-08
tomcat-embed-el-9.0.16.jar
tomcat-redis-session-manager for tomcat8.5
11-14
压缩文件包括tomcat-redis-session-manager-master-2.0.0.jar、jedis-2.7.3.jar、commons-pool2-2.3.jar三个jar包使用方法请参照https://github.com/jcoleman/tomcat-redis-session-manager。apache-tomcat-8.5.33....
tomcat-redis-session-manager-2.0.0.jar
04-26
tomcat-redis-session-manager-2.0.0.jar
apache-tomcat-8.0.53.zip增加https证书及配置
11-09
里面已经生成10十年的单向https证书,并且已配置好可以直接使用。集体生成和配置方式可见博客,里面有详细步骤。
TOMCAT使用CA签发证书配置单向和双向SSL
xiaoniao2003的专栏
04-04 669
一.获取签发服务器证书以及CA证书 1.创建本地证书密钥库以及密钥对 [plain] view plain copy  print?        keytool -genkey -alias tomcat -keyalg RSA -keystore    在填写证书信息时,需要注意的是 "名字与姓氏" 或者 英文的"
Tomcat配置SSL证书实现https(内网ip访问)
每天学习一点点
04-04 6972
Tomcat的bin目录下打开命令窗口(以下操作均在服务器上完成) 1.制作服务器端秘钥库 在命令窗口中输入下面命令: keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\tomcat.keystore -validity 36500 -ext SAN=dns:localhost,ip:XXX.XXX.XXX.XXX ip地址填写服务器的ip。 2.制作客户端秘钥库 在命令窗口中输入下面命令: keytoo
使用Tomcat 9验证Https单向认证和双向认证
ONS_cukuyo的博客
01-26 4434
一、生成根证书颁发机构的密钥库 keytool -genkeypair -v -keystore root.p12 -storetype pkcs12 -storepass 123456 -alias 我是根证书 -keyalg RSA -keysize 2048 -validity 36500 二、生成服务器密钥库 keytool -genkeypa
Tomcat配置HTTPS访问
热门推荐
盛小伟的博客
05-17 9万+
tomcat中存在两种证书验证情况 (1)单向验证 (2)双向验证 1.tomcat单向认证 服务器端会提供一个公开的公钥,每一个访问此服务器的客户端都可以获得这个公钥,此公钥被加密后,服务器端可以进行解密处理,之后验证是否配对 配置 1.进入tomcat目录,编辑server.xml 找到端口号为433的配置段,433是访问HTTPS的端口号添加如下内容 <Connector po...
tomcat配置https单向认证笔记
没事看看书
01-20 7664
tomcat使用https是为了保证隐私数据能够加密传输,不被别人截取破解传输信息。 https认证过程涉及到对称加密与非对称加密,多次握手,相对于http协议是比较费时的。
用keytool制作证书并在tomcat配置https服务(四)
ddak56357的博客
04-30 140
用keytool制作证书并在tomcat配置https服务(一) 用keytool制作证书并在tomcat配置https服务(二) 用keytool制作证书并在tomcat配置https服务(三) 上一篇我们实现了服务端自己模拟CA认证,那么有个问题。 一个客户端和服务端对接就需要把这个客户端的证书拿来导入到服务端的密钥库中。那么很多客户端要对接,就要多次导入。 可以这样,让客...
tomcat配置https,开启双向认证,第三方ca颁发可信证书
luoni186的专栏
06-09 1633
RSA不同服务器需要配置:keystore.jks是私钥证书库,cacerts.jks是信任库。而一般我们生成一个keystore.jks就行,包含服务器密钥证书、和信任链证书,是两个证书保持一样。 1.生成对应我们需要的jks文件: 其中s1as使我们要配置的服务器含有私钥证书,365是有效期单位天,keyalg申请的整数类型,keysize秘钥长度,keypass使我们服务器证书密码,-storepass对应我们生成jks文件的密码,-dname是我们后面生成证书的主题,这个要和ca给我们办法
tomcat中配置https请求
weixin_30455365的博客
03-02 794
一. 创建tomcat证书 这里使用JDK自带的keytool工具来生成证书: 1. 在jdk的安装目录\bin\keytool.exe下打开keytool.exe 2. 在命令行中输入以下命令: keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "g:\tomcat.keystore"...
tomcat7-maven-plugin 2.2报红
最新发布
09-28
提示"Plugin ‘org.apache.tomcat.maven:tomcat7-maven-plugin:2.2’ not found"意味着在您的项目中找不到tomcat7-maven-plugin插件的2.2版本。这可能是因为该插件在您的pom.xml文件中未正确配置或未正确下载。在您...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值