VisualVM 之 SSL+JMX

最新推荐文章于 2023-05-31 01:13:25 发布
最新推荐文章于 2023-05-31 01:13:25 发布
阅读量485 收藏
点赞数
分类专栏: Java 文章标签: java linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jhonhai/article/details/108436795
版权

在前面两篇文章中分别介绍了了如何使用jstatd和JMX来配置VisualVM做一个监控。但生产环境中,往往是需要经过合法性的校验才允许创建链接的,之前的方式适合测试环境操作。在生成环境中,强烈建议使用SSL认证。SSL需要提供证书才能访问,安全性较高。

 

第一步:制作keystore 和truststore

由于SSL是一个非对称加密协议,因此会有public key 和 private key,而public key、private key是保存在keystore里面的。

下面主要讲下client 和 server 的keystore 、truststore制作流程。主要步骤是

1、生成client keystore ,从client keystore导出cer, 将 cer 导入到server truststore(生成server truststore)

2、生成server keystore ,从server keystore导出cer, 将 cer 导入到client truststore(生成client truststore)

 

具体流程

1、client keystore

 

格式:

keytool -genkeypair \
-alias <client名称> \
-keyalg RSA \
-validity 365 \
-storetype pkcs12 \
-keystore <client名称>.keystore \
-storepass <client keystore password> \
-keypass <同 client keystore password> \
-dname "CN=<姓名> OU=<组织下属单位> O=<组织> L=<城市> S=<省> C=<国家>"

 

示例:

keytool -genkeypair \
-alias visualvm \
-keyalg RSA \
-validity 365 \
-storetype pkcs12 \
-keystore visualvm.keystore \
-storepass 123456 \
-keypass 123456 \
-dname "CN=chihay OU=Alphalion O=dev L=GZ S=GD C=CN"

 

2、client cer

格式:

keytool -exportcert \
-alias <client name> \
-storetype pkcs12 \
-keystore <client name>.keystore \
-file <client name>.cer \
-storepass <client keystore password>

示例:

keytool -exportcert \
-alias visualvm \
-storetype pkcs12 \
-keystore visualvm.keystore \
-file visualvm.cer \
-storepass 123456

 

3、生成server truststore

 

格式:

keytool -importcert \
-alias <client name> \
-file <client name(上一步生成的文件名)>.cer \
-keystore <servier name>.truststore \
-storepass <servier truststore password> \
-noprompt

 

示例:

keytool -importcert \
-alias visualvm \
-file visualvm.cer \
-keystore visualvm-test-app.truststore \
-storepass 789012 \
-noprompt

 

4、server keystore(跟第一步格式是一样的)

格式:

keytool -genkeypair \
-alias <server名称> \
-keyalg RSA \
-validity 365 \
-storetype pkcs12 \
-keystore <server名称>.keystore \
-storepass <server keystore password> \
-keypass <同 server keystore password> \
-dname "CN=<姓名> OU=<组织下属单位> O=<组织> L=<城市> S=<省> C=<国家>"

示例:

 keytool -genkeypair \
-alias visualvm-test-app \
-keyalg RSA \
-validity 365 \
-storetype pkcs12 \
-keystore visualvm-test-app.keystore \
-storepass 012345 \
-keypass 012345 \
-dname "CN=chihay OU=Alphalion O=dev L=GZ S=GD C=CN"

 

5、server cer (跟第二步格式一样)

格式:

keytool -exportcert \
-alias <server name> \
-storetype pkcs12 \
-keystore <server name>.keystore \
-file <server name>.cer \
-storepass <server keystore password>

示例:

keytool -exportcert \
-alias visualvm-test-app \
-storetype pkcs12 \
-keystore visualvm-test-app.keystore \
-file visualvm-test-app.cer \
-storepass 012345

 

6、client truststore(跟第三步格式一样)

格式:

keytool -importcert \
-alias <server name> \
-file <server name(上一步生成的server文件名)>.cer \
-keystore <client name>.truststore \
-storepass <client truststore password> \
-noprompt

示例:

keytool -importcert \
-alias visualvm-test-app \
-file visualvm-test-app.cer \
-keystore visualvm.truststore \
-storepass 678901 \
-noprompt

 

 

最终生成六个文件

 

第二步:启动server服务

启动命令(注意参数名称和内容不要写错,否则client会报JMX链接不上):

java -jar -Dcom.sun.management.jmxremote \
-Dcom.sun.management.jmxremote.port=<port>  \
-Dcom.sun.management.jmxremote.rmi.port=<同样port>  \
-Djava.rmi.server.hostname=<ip> \
-Dcom.sun.management.jmxremote.authenticate=false \
-Dcom.sun.management.jmxremote.ssl=true \
-Dcom.sun.management.jmxremote.registry.ssl=true \
-Dcom.sun.management.jmxremote.ssl.need.client.auth=true \
-Djavax.net.ssl.keyStore=<path server keyStore> \
-Djavax.net.ssl.keyStorePassword=<server keyStorePassword> \
-Djavax.net.ssl.trustStore=<path server trustStore> \
-Djavax.net.ssl.trustStorePassword=<server trustStorePassword>  \
visualvmtest-0.0.1-SNAPSHOT.jar

示例:

java -jar -Dcom.sun.management.jmxremote \
-Dcom.sun.management.jmxremote.port=2223  \
-Dcom.sun.management.jmxremote.rmi.port=2223  \
-Djava.rmi.server.hostname=192.168.124.18 \
-Dcom.sun.management.jmxremote.authenticate=false \
-Dcom.sun.management.jmxremote.ssl=true \
-Dcom.sun.management.jmxremote.registry.ssl=true \
-Dcom.sun.management.jmxremote.ssl.need.client.auth=true \
-Djavax.net.ssl.keyStore=/opt/visualvm-test/keystore/visualvm-test-app.keystore \
-Djavax.net.ssl.keyStorePassword=012345 \
-Djavax.net.ssl.trustStore=/opt/visualvm-test/keystore/visualvm-test-app.truststore \
-Djavax.net.ssl.trustStorePassword=789012  \
visualvmtest-0.0.1-SNAPSHOT.jar

第三步:启动client

如果这个时候直接打开VisualVM app,是链接不上server的。server会报错:

2020-09-07 09:40:01.332  WARN 3092 --- [MI TCP Accept-0] sun.rmi.transport.tcp                    : RMI TCP Accept-0: accept loop for ServerSocket[addr=0.0.0.0/0.0.0.0,localport=44883] throws

java.net.SocketException: java.security.NoSuchAlgorithmException: Error constructing implementation (algorithm: Default, provider: SunJSSE, class: sun.security.ssl.SSLContextImpl$DefaultSSLContext)
        at javax.net.ssl.DefaultSSLSocketFactory.throwException(SSLSocketFactory.java:248) ~[na:1.8.0_171]
        at javax.net.ssl.DefaultSSLSocketFactory.createSocket(SSLSocketFactory.java:270) ~[na:1.8.0_171]
        at sun.management.jmxremote.ConnectorBootstrap$SslServerSocket.accept(ConnectorBootstrap.java:992) ~[na:1.8.0_171]
        at sun.rmi.transport.tcp.TCPTransport$AcceptLoop.executeAcceptLoop(TCPTransport.java:405) [na:1.8.0_171]
        at sun.rmi.transport.tcp.TCPTransport$AcceptLoop.run(TCPTransport.java:377) [na:1.8.0_171]
        at java.lang.Thread.run(Thread.java:748) [na:1.8.0_171]
Caused by: java.security.NoSuchAlgorithmException: Error constructing implementation (algorithm: Default, provider: SunJSSE, class: sun.security.ssl.SSLContextImpl$DefaultSSLContext)
        at java.security.Provider$Service.newInstance(Provider.java:1617) ~[na:1.8.0_171]
        at sun.security.jca.GetInstance.getInstance(GetInstance.java:236) ~[na:1.8.0_171]
        at sun.security.jca.GetInstance.getInstance(GetInstance.java:164) ~[na:1.8.0_171]
        at javax.net.ssl.SSLContext.getInstance(SSLContext.java:156) ~[na:1.8.0_171]
        at javax.net.ssl.SSLContext.getDefault(SSLContext.java:96) ~[na:1.8.0_171]
        at javax.net.ssl.SSLSocketFactory.getDefault(SSLSocketFactory.java:122) ~[na:1.8.0_171]
        at sun.management.jmxremote.ConnectorBootstrap$SslServerSocket.getDefaultSSLSocketFactory(ConnectorBootstrap.java:1008) ~[na:1.8.0_171]
        at sun.management.jmxremote.ConnectorBootstrap$SslServerSocket.accept(ConnectorBootstrap.java:990) ~[na:1.8.0_171]
        ... 3 common frames omitted
Caused by: java.security.PrivilegedActionException: null
        at java.security.AccessController.doPrivileged(Native Method) ~[na:1.8.0_171]
        at sun.security.ssl.SSLContextImpl$DefaultManagersHolder.getKeyManagers(SSLContextImpl.java:822) ~[na:1.8.0_171]
        at sun.security.ssl.SSLContextImpl$DefaultManagersHolder.<clinit>(SSLContextImpl.java:758) ~[na:1.8.0_171]
        at sun.security.ssl.SSLContextImpl$DefaultSSLContext.<init>(SSLContextImpl.java:913) ~[na:1.8.0_171]
        at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method) ~[na:1.8.0_171]
        at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:62) ~[na:1.8.0_171]
        at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:45) ~[na:1.8.0_171]
        at java.lang.reflect.Constructor.newInstance(Constructor.java:423) ~[na:1.8.0_171]
        at java.security.Provider$Service.newInstance(Provider.java:1595) ~[na:1.8.0_171]
        at sun.security.jca.GetInstance.getInstance(GetInstance.java:236) ~[na:1.8.0_171]
        at sun.security.jca.GetInstance.getInstance(GetInstance.java:164) ~[na:1.8.0_171]
        at javax.net.ssl.SSLContext.getInstance(SSLContext.java:156) ~[na:1.8.0_171]
        at javax.net.ssl.SSLContext.getDefault(SSLContext.java:96) ~[na:1.8.0_171]
        at javax.net.ssl.SSLSocketFactory.getDefault(SSLSocketFactory.java:122) ~[na:1.8.0_171]
        at javax.rmi.ssl.SslRMIServerSocketFactory.getDefaultSSLSocketFactory(SslRMIServerSocketFactory.java:368) ~[na:1.8.0_171]
        at javax.rmi.ssl.SslRMIServerSocketFactory.<init>(SslRMIServerSocketFactory.java:180) ~[na:1.8.0_171]
        at javax.rmi.ssl.SslRMIServerSocketFactory.<init>(SslRMIServerSocketFactory.java:118) ~[na:1.8.0_171]
        at javax.rmi.ssl.SslRMIServerSocketFactory.<init>(SslRMIServerSocketFactory.java:80) ~[na:1.8.0_171]
        at sun.management.jmxremote.ConnectorBootstrap$HostAwareSslSocketFactory.<init>(ConnectorBootstrap.java:891) ~[na:1.8.0_171]
        at sun.management.jmxremote.ConnectorBootstrap$HostAwareSslSocketFactory.<init>(ConnectorBootstrap.java:884) ~[na:1.8.0_171]
        at sun.management.jmxremote.ConnectorBootstrap$HostAwareSslSocketFactory.<init>(ConnectorBootstrap.java:872) ~[na:1.8.0_171]
        at sun.management.jmxremote.ConnectorBootstrap.createSslRMIServerSocketFactory(ConnectorBootstrap.java:649) ~[na:1.8.0_171]
        at sun.management.jmxremote.ConnectorBootstrap.exportMBeanServer(ConnectorBootstrap.java:774) ~[na:1.8.0_171]
        at sun.management.jmxremote.ConnectorBootstrap.startRemoteConnectorServer(ConnectorBootstrap.java:468) ~[na:1.8.0_171]
        at sun.management.Agent.startAgent(Agent.java:262) ~[na:1.8.0_171]
        at sun.management.Agent.startAgent(Agent.java:452) ~[na:1.8.0_171]
Caused by: java.io.FileNotFoundException: 012345 (没有那个文件或目录)
        at java.io.FileInputStream.open0(Native Method) ~[na:1.8.0_171]
        at java.io.FileInputStream.open(FileInputStream.java:195) ~[na:1.8.0_171]
        at java.io.FileInputStream.<init>(FileInputStream.java:138) ~[na:1.8.0_171]
        at java.io.FileInputStream.<init>(FileInputStream.java:93) ~[na:1.8.0_171]
        at sun.security.ssl.SSLContextImpl$DefaultManagersHolder$2.run(SSLContextImpl.java:826) ~[na:1.8.0_171]
        at sun.security.ssl.SSLContextImpl$DefaultManagersHolder$2.run(SSLContextImpl.java:823) ~[na:1.8.0_171]
        ... 26 common frames omitted

 

正确方式应该是在$JAVA_HOME/bin目录下,使用jvisualvm 并带上keyPassword 和truststorePassword启动 client。这时会直接打开一个客户端。这是一个使用证书创建的链接。在创建的时候选不选SSL都可以的。

jvisualvm -J-Djavax.net.ssl.keyStore=/Users/yang/Documents/file/keystore/visualvm.keystore \
-J-Djavax.net.ssl.keyStorePassword=123456 \
-J-Djavax.net.ssl.trustStore=/Users/yang/Documents/file/keystore/visualvm.truststore \
-J-Djavax.net.ssl.trustStorePassword=678901

 

总结:

1、生成keyStore 和 trustStore 参数要写对,password要对应的上

2、启动的时候,参数值要写对,这点比较坑,写错了参数是会报链接不上。所以出现链接不上的时候要先确认参数对了,再去看是不是防火墙端口这些问题导致的。比如正确的密码是678901,但是写错成6789012的话就不行了。还有路径也会导致这些问题。

Chihay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
simple-jmx-agent:使用单个固定端口的简单jmx-agent
05-09
简单的jmx代理 在Java HotSpot虚拟机中,使用开箱即用的远程jmx时会打开服务器端口,其中一些端口是动态的,这使防火墙非常难受。 下面显示了这一痛苦的事情: java \ -Djava.net.preferIPv4Stack=true \ -Dcom.sun.management.jmxremote=true \ -Dcom.sun.management.jmxremote.port=${port} \ -Dcom.sun.management.jmxremote.authenticate=false \ -Dcom.sun.management.jmxremote.ssl=false \ -classpath ${classpath} \ ${main_class} 该代理为jmx服务器提供了一个固定端口。 如何建造? git clone
JVM性能监控方法之visualVM1
08-08
### JVM性能监控方法之VisualVM详解 #### 一、引言 在Java应用程序开发与运维过程中,对JVM(Java虚拟机)进行性能监控是非常重要的环节。它可以帮助开发者及运维人员及时发现并解决性能瓶颈问题,确保应用稳定高效...
VisualVm利用SSL连接JMX的方法
weixin_34043301的博客
10-12 346
原文地址 在前一篇文章里提到在生产环境下应该使用SSL来创建JMX连接,本文就来讲一下具体怎么做。 前导知识 先了解一下Java客户端程序在创建SSL连接的一些相关的事情: Java client程序在做SSL连接的时候,会拉取server的证书,利用truststore去验证这个证书,如果不存在 or 证书过期 or 不是由可信CA签...
VisualVM通过ssl远程连接JVM
weixin_30558305的博客
06-03 122
VisualVM通过密码连接JVM实例如下 https://www.cnblogs.com/qq931399960/p/10960573.html 虽然设置了密码,但还是不够安全,只要获取到密码,在任何机器上都可以连接JVM。所以需要使用到SSLSSL需要提供证书才能访问,安全性较高 一、生成证书 1、第一步,生成供客户端使用的visualvm.keystore keytool -...
jconsole远程监控认证,java远程监控,jmx监控应用,jmx ssl配置,jconsole ssl连接远程应用
qq_41633199的博客
10-15 1646
知识普及 jmx JMXjava Management Extensions)是一个Java平台的管理和监控接口。任何程序,只要按JMX规范访问这个接口,就可以获取所有管理与监控信息,jconsole与Java VisualVM等常见监测工具都是基于jmxJMX不但可以用于管理JVM,还可以管理应用程序自身。 JMX把所有被管理的资源都称为MBean(Managed Bean),MBean全部由MBeanServer管理,如果要访问MBean,可以通过MBeanServer对外提供的访问接口,例如RMI
tomcat jmx ssl 配置以及使用jconsole连接
weixin_43370429的博客
04-11 1151
tomcat jmx ssl 配置 测试tomcat版本 9.0.62 先生成服务端keystore和证书 keytool -genkeypair -keystore serverkeystore -alias serverkey -validity 180 -storepass serverpass -keypass serverpass keytool -exportcert -keystore serverkeystore -alias serverkey -storepass serverpass
JMX配置与使用
07-19
JMX客户端可以使用JConsole、VisualVM或者自定义的应用程序来连接到服务器。JConsole是Java SDK自带的一个工具,可以直接连接到本地或远程的JMX服务。要连接到远程服务器,需要提供服务器的主机名、端口以及可能的...
catalina-jmx-remote.rar
11-13
通过上述步骤,我们就可以使用JConsole或其他支持JMX的工具(如VisualVM、JTop等)远程连接到Tomcat的Catalina MBeans,查看和管理服务器状态。这包括查看Web应用程序的状态、监控线程池、管理...
JMX-how-to-use.rar_jmx_服务器_远程监控 文件
09-22
JConsole和VisualVMJava自带的JMX客户端工具,可以方便地连接到运行中的JMX服务器进行监控。此外,还可以使用开源工具如JManage、JMXTERM或自定义的JMX客户端来访问和操作MBeans。 5. **安全配置** 远程JMX访问...
tomcat开启远程jmx连接方式
12-19
**Tomcat开启远程JMX连接方式详解** Java Management Extensions (JMX) 是Java...通过JMX,你可以使用各种工具(如JConsole、VisualVMJMX Console插件等)进行远程监控,以便更好地管理和优化Tomcat服务器的性能。
JMX远程配置
qq_39042827的博客
08-30 2320
JMX参数配置 配置 说明 参数 -Dcom.sun.management.jmxremote.authenticate 开启鉴权 (鉴权) false/ture -Dcom.sun.management.jmxremote.ssl 启用ssl连接 false/ture -Dcom.sun.management.jmxremote.local.only 是否只接受本地连接 false/ture -Dcom.sun.management.jmxremote.host jmx绑定指定
Java VisualJVM连接远程Tomcat,添加jmx连接失败
u012514808的博客
11-21 1335
JAVA_OPTS=“$JAVA_OPTS -Dcom.sun.management.jmxremote -Dcom.sun.management.jmxremote.port=9004 #由于没有下面这个参数,所以导致连接失败 -Dcom.sun.management.jmxremote.rmi.port=9004 -Dcom.sun.management.jmxremote.authe...
jvisualvm ssl远程连接JVM
博客
05-31 1855
jvisualvm ssl远程连接JVM
java.net.SocketException: java.security.NoSuchAlgorithmException: Error constructing implementation
suzl478068的博客
11-29 7800
JAVA中调用思科的IP电话时 生产环境报异常: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable t...
java异常总结
Emperor003的博客
07-12 595
java.lang.IllegalArgumentException 是指不合法的参数异常。
java安全套接层SSL示例
热门推荐
05-18 1万+
1.建立密钥库: keytool -genkey -v -keyalg RSA -alias test -keystore sslkeystore
ps请求失败:java.security.NoSuchProviderException: SunJSSE
shuishen520的专栏
03-27 6214
当web项目在tomcat中启动时,可以正确得建立https链接,发起请求并获得响应。但是把web项目放到手机上使用i-jetty启动时,发起https请求失败。 检查后发现在建立SSLContext时报错:java.security.NoSuchProviderException: SunJSSE 建立SSLContext的代码为: Java代码  SSLContext sslContext =...
VisualVM工具的使用
m0_72838865的博客
08-26 783
VisualVM,能够监控线程,内存情况,查看方法的CPU时间和内存中的对 象,已被GC的对象,反向查看分配的堆栈(如100个String对象分别由哪几个对象分配出来的)。注意: JMX Server还会随机额外的去监听两个端口,所以在远程连接时我们本地的JMX在连接时也会尝试去连接监听端口。VisualVM使用简单,几乎0配置,功能还是比较丰富的,几乎囊括了其它JDK自带命令的所有功能。在jdk的安装目录的bin目录下,找到jvisualvm.exe,双击打开即可。很显然,多出两个端口。...
Tomcat 无法启动,报错Exception thrown by the agent : java.net.MalformedURLException: Local host name unknow
cc920095705的博客
08-09 969
在VM-linux中启动tomcat时,报错: Error: Exception thrown by the agent : java.net.MalformedURLException: Local host name unknown: java.net.UnknownHostException: charles-linux-centos: charles-linux-centos: Name or service not known sun.management.AgentConfigurationE
visualvm idea
最新发布
09-06
7. 在VisualVM中,单击“File”菜单,然后选择“Add JMX Connection”选项。 8. 在“Add JMX Connection”对话框中,输入以下信息: - JMX Connection:localhost:9010(根据您在第4步中指定的端口进行更改) - ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值