tomcat系列-06-HTTPS支持-商用证书-openssl操作

最新推荐文章于 2023-03-28 11:12:54 发布
最新推荐文章于 2023-03-28 11:12:54 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: tomcat 安全 linux 文章标签: tomcat ca openssl https 商用证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hylexus/article/details/53150333
版权
tomcat 同时被 3 个专栏收录
9 篇文章 0 订阅
订阅专栏
安全
9 篇文章 0 订阅
订阅专栏
linux
7 篇文章 0 订阅
订阅专栏

前言

上一篇,我们介绍了tomcat启用https支持,只是是在私有CA下启用的。
私有CA除了平时自己练习或者内网使用外,想不出其他用途了。

现在我们介绍下,tomcat使用真正的商用证书来支持https。

1 环境准备

  • 域名
    • 本人这里是在阿里云买的域名
    • 只要你想买的域名不是 google.com或在baidu.com这种白金次的话,一般都不贵吧……
    • 域名备不备案在这里无所谓了
    • 将域名解析到你自己的服务器
  • 公网服务器
    • 本人这里使用的是阿里云主机
    • 得搞个公网主机,不然域名解析到哪里去呢?
  • https证书

2 申请证书

这部分没啥问题的道友,直接跳过吧……

为方便,以下操作都在 /soft/tomcat7-80/ssl目录执行

2.1 生成应用程序私钥

(umask;openssl genrsa -out tomcat.key 2048)
# 此处在子shell中执行,并将遮罩码设置为077,
# 以便生成的文件tomcat.key的mod==600

2.2 提交CSR到CA(startssl.com)

https://startssl.com/ 有两种方式来提交CSR:

  • 自己生成CSR
  • 通过IE浏览器

此处可以同keytool或者openssl来自己生成CSR。
本人这里选择自己用openssl工具生成(使用keytool的话也差不多的过程):

# 生成证书请求保存至tomcat.csr
[root@hylexus ssl]# openssl req -new -key tomcat.key -out tomcat.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [CN]:
State or Province Name (full name) [ShangHai]:
Locality Name (eg, city) [ShangHai]:
Organization Name (eg, company) [KKBC]:
Organizational Unit Name (eg, section) [Tech]:
Common Name (eg, your name or your server's hostname) []:hylexus.top
Email Address []:hylexus@163.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@hylexus ssl]#

将自己的CSR内容粘贴到https://startssl.com/提供的输入框中即可:

startSSL提交csr

2.3 下载CA颁发的证书

申请结果:

申请结果

点击下载即可,本人这里hylexus.top.zip的压缩包,内容如下:

[root@hylexus https]# tree
.
├── ApacheServer.zip # apache/httpd的证书
├── IISServer.zip # IIS的证书
├── NginxServer.zip # Nginx的证书
└── OtherServer.zip # 其他服务器的证书,这里我们就使用这个了

3 配置tomcat支持HTTPS

这里我们使用从CA下载的OtherServer.zip文件中2_hylexus.top.crt文件为例,配置tomcat。
并将复制至:${catalina.home}/ssl/tomcat.crt

cp 2_hylexus.top.crt /soft/tomcat7-80/ssl/tomcat.crt
cp 1_Intermediate.crt /soft/tomcat7-80/ssl/ca.cert

# 此时的ssl目录
[root@hylexus ssl]# tree
.
├── ca.cert # CA自己的证书
├── tomcat.crt # 刚刚复制的CA颁发的证书
├── tomcat.csr # 证书申请请求文件,现在可以删了
└── tomcat.key # 应用程序私钥

3.1 基于APR-Connector

如何启用APR,可以参考本人另一篇文章:http://blog.csdn.net/hylexus/article/details/53137721

<Connector
     protocol="org.apache.coyote.http11.Http11AprProtocol"
     port="8443" maxThreads="200"
     scheme="https" secure="true" SSLEnabled="true"
     SSLCertificateFile="${catalina.base}/ssl/tomcat.crt"
     SSLCertificateKeyFile="${catalina.base}/ssl/tomcat.key"
     SSLVerifyClient="optional" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"/>

3.2 基于NIO、AIO-Connector

由于上面本人使用openssl工具生成的私钥,而基于NIO和BIO的Connector配置中HTTPS的支持必须依赖于java的标准keystore文件。
所以,现在有个麻烦的事就是将现成的私钥和证书导入到某个keystore中。
查了好久资料,终于找到方法了………………(keytool并没有直接提供这个功能^)

keytool的使用示例可以参考:http://blog.csdn.net/hylexus/article/details/53145973

  • 1) 将私钥和证书导入keystore

借助于openssl工具实现转换,注意记住以下操作要求你输入的密码哦:

# ks.p12这中格式的输出文件可以当做一个keystore来用
openssl pkcs12 -export -name tmp -in tomcat.crt -inkey tomcat.key -out ks.p12

# 从ks.p12这个非标准的keystore导入到新的keystore:ks
keytool -importkeystore -destkeystore ks -srckeystore ks.p12 -srcstoretype pkcs12 -alias tmp

此时的ssl目录

[root@hylexus ssl]# tree
.
├── ks # 刚刚转换生成的keystore
├── ks.p12 # 临时的非标准的keystore,现在可以删了
├── tomcat.crt # 当前配置下可删除
├── tomcat.csr # 当前配置下可删除
└── tomcat.key # 当前配置下可删除


# 以上标注了"当前配置下可删除"的三个文件,
# 在非APR类型的Connector下这个文件是没啥用处的
# 因为私钥和证书都在keystore文件ks中了
  • 2) 配置server.xml

NIO-Connector配置

<Connector
       protocol="org.apache.coyote.http11.Http11NioProtocol"
       port="8443" maxThreads="200"
       scheme="https" secure="true" SSLEnabled="true"
       keystoreFile="${catalina.home}/ssl/ks" keystorePass="123456"
       clientAuth="false" sslProtocol="TLS"/>

BIO-Connector配置

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
           connectionTimeout="20000" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS"
           keystoreFile="${catalina.home}/ssl/ks" keystorePass="123456"
           />

4 效果预览

效果预览

再也没有那个恶心的警告了^_^

参考文章

https://www.oschina.net/translate/switch-to-https-now-for-free?cmp

hylexus
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat 配置 HTTPS 证书
weixin_42256765的博客
11-02 926
Tomcat 配置 HTTPS 证书证书简介安装证书强制跳转 证书简介   HTTPS 是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。   配置HTTPS就需要证书,关于证书方面不做过多解释,只介绍大概情况 : 证书通过权威的CA机构付费获得的证书才能被互联网承...
TomcatTomcat配置https(免费证书
小啊宇的博客
01-25 9352
记一次因各种需求在Linux中配置tomcat的https自签发证书过程: SSL证书简介 1.公开可信认证机构 例如CA,但是申请一般是收费的,一般几百到几千一年. 在这里可以给你们介绍一下腾讯云截止到目前还有免费一年的CA证书服务,可以用一下。 2.自己生成 虽然安全性不是那么高,但胜在成本低,我目前只是做个测试,所以这篇文章里讲的是自生成的。 证书配置过程 1.环境准备 为了成功配置https,你需要具备以下环境: java jdk tomcat 2.JKS格式证书生成 1).打开你的终端或者命令行,
如何用Tomcat和Openssl构建HTTPS双向认证环境(HTTPS客户端认证)
热门推荐
雕虫小技
04-29 3万+
 本文将介绍如何利用Tomcat的HTTPS功能,和一个自己创建的CA,来构建WEB服务器证书和个人数字证书,最终建成一个HTTPS双向认证环境(可以用于测试目的)。本文构建HTTPS双向认证的业务流程大致如下:  1. 创建WEB服务器公钥密钥,并生成服务器证书请求。  2. 利用自建的CA,根据服务器证书请求为服务器签发服务器证书。然后把服务器证书导回WEB服务器中。  3. 利用open
【Https(二】】实战 openssl 配置 tomcat
u010900754的专栏
05-03 9624
CA私钥 使用如下命令生成CA私钥: openssl genrsa -out CaPriKey.pem 直接查看私钥文件: -----BEGIN RSA PRIVATE KEY----- MIIEpAIBAAKCAQEA0iNHMj1XieO51g0qnjYKwk39PGxzzUUTZIn5dBbY5YaBZAQl +M7QFASxsK9g42Xx7CWH0RlWQVa0CR6slIS...
OpenSSL 自述
KH_FC的博客
12-20 676
1995 年, Eric A. Young 和 Tim J. Hudson 发明了 SSLeay,它是 SSL(Open-source Secure Sockets) 协议的实现。1998 年,Young 和 Hudson 停止了对 SSLeay 的维护,开始在澳大利亚为 RSA 工作。 后来我便出现了,是基于 SSLeay 重新建立了分支,正式起名为 OpenSSL。我开源而且免费,可以商...
openssh-9.5p1-openssl-1.1.1w
11-01
openssl-1.1.1w-1.el7.centos.x86_64.rpm openssl-debuginfo-1.1.1w-1.el7.centos.x86_64.rpm openssl-devel-1.1.1w-1.el7.centos.x86_64.rpm 操作系统是centos7.3 或者 7.4 的话可以使用,其他版本没有测试,但是大...
Win64OpenSSL-3-2-1
最新发布
02-02
Win64OpenSSL-3_2_1
c++-http及openssl实现https通讯的整合资源
09-05
windows下vs2015基于c++-httplib库以及openssl库,实现c++-Https服务器以及客户端之间的通讯,里面各种使用到的代码以及示例都存在,下载直接就能编译运行使用,也可集成在各位的vs项目中。
openssl-1.0.2u + openssl-1.0.2k
12-04
标题中的"openssl-1.0.2u + openssl-1.0.2k"指的是OpenSSL库的两个不同版本,1.0.2u和1.0.2k。OpenSSL是一个开源项目,提供安全套接层(SSL)和传输层安全(TLS)协议的实现,用于加密通信,确保网络数据传输的安全...
openssl和openssl-devel的rpm
01-29
openssl-1.0.2n-2.58.1.x86_64.rpm,libopenssl1_0_0-1.0.2n-2.58.1.x86_64.rpm,libopenssl-devel-1.0.2n-2.58.1.x86_64.rpm,libopenssl-devel-64bit-1.0.2j-10.1.aarch64_ilp32.rpm
openSSL生成证书以及在tomcat下的配置
05-21
这是我自己关于学习openSSL的一些心德,很初级,请大家不要见笑
ssl汇总ssl tomcat openssl
09-17
ssl tomcat opensslssl tomcat openssl
openssl 生成 证书
11-23
打包的一个openssl包,自己编写的一个openssl 的批处理,填写基本信息就能生成key,免去了自己繁琐的输入命令。(openssl基于apache2.2.21提取) 如果配置来使用svn的话可以参考:http://blog.csdn.net/nicaiwa/article/details/6932472
Tomcat
qq_44840708的博客
01-17 541
Tomcat
OpenSSL学习笔记-简介
浴血重生-学习空间
11-15 725
OpenSSLOpenSSL 是一个主要用于Transport Layer Security (TLS) 和 Secure Sockets Layer (SSL) 协议的稳定、可商用、全功能的工具箱。 OpenSSL也是一个强大通用的安全套接字层加密库,用于网络上以及计算机之间的加密通信协议等,同时它还是一个多用途的、跨平台的密码工具。可以实现消息摘要、文件的加密和解密、数字证书、数字签名 和随机
使用openssl配置tomcat ssl证书
iteye_17677的博客
02-19 822
      Tomcat既可以作为独立的Servlet容器,也可以作为其他HTTP服务器附加的Servlet容器。如果Tomcat在非独立模式下工作,通常不必配置SSL,由它从属的HTTP服务器来实现和客户的SSL通信。Tomcat和HTTP服务器之间的通信无须采用加密机制,HTTP服务器将解密后的数据传给Tomcat,并把Tomcat发来的数据加密后传给客户。     如果Tomcat作为...
谈谈https和证书
雨中深巷的油纸伞
03-28 2662
Transport Layer Security,同样是为了保证数据安全的加密协议层,是SSL的增强版,SSL有1.0,2.0,3.0版本,TLS目前1.0,1.1,1.2,1.3,TLS的1.0版本就是SSL的3.0。:相当于SSL的一个实现,如果把SSL规范看成OO中的接口,那么OpenSSL则认为是接口的实现,个人理解openssl是作为针对SSL/TLS的一个工具,包括对证书的解析,个人颁发,证书编码转化等。tls握手阶段,会根据随机值等协商一个对称加密的密钥,后面的通信都是使用这个密钥来加密。
OpenSSL简单命令及Tomcat配置SSL证书
发呆的程序猿
04-24 4185
查看支持的子命令: openssl ? SSL 密码组合列表: openssl ciphers 测试密码算法速度 测试所有算法速度: openssl speed 测试 RSA 速度: openssl speed rsa 测试 DES 速度: openssl speed des 加密文件: openssl enc -e -rc4 -in 1.key -out 1...
OpenSSL/Tomcat HTTPS 搭建
weixin_34124939的博客
05-11 300
总结一下 OpenSSL和Tomcat https的搭建第一部分:首先是看看 OpenSSL的搞法:创建证书的步骤:(1)生成私钥(2)生成待签名证书(3)生成x509证书, 用CA私钥进行签名(4)导成浏览器支持的p12格式证书一:生成CA证书CA 1. 创建私钥 :openssl genrsa -ges3 -out ca-key.pem 2048 -sha2562....
--openssl-legacy-provider is not allowed in
09-09
--openssl-legacy-provider 在哪些情况下是被禁用的? 根据引用和引用,--openssl-legacy-provider 是一个选项,它在当前版本的 Node.js 中被禁用了。具体来说,当你运行 Node.js 命令时,如果 NODE_OPTIONS 环境...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值