Tomcat SLL加密(opensll方式)

最新推荐文章于 2021-07-07 17:12:28 发布
最新推荐文章于 2021-07-07 17:12:28 发布
阅读量214 收藏
点赞数
分类专栏: 安全加密 文章标签: web.xml java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mib_2012/article/details/84214998
版权

 

转自 http://blog.csdn.net/STK_tianwen/article/details/6298648

 

                   Tomcat 双向认证

不过我按照上面的步骤做下来,https的服务起不来,总是提示证书文件不存在或者格式非法。搞了好久终于搞定了,在这里总结一下。

 

环境信息:

软件                            版本                                                   安装路径

Tomcat                       apache-tomcat-7.0.11                      D:/tomcat/apache-tomcat-7.0.11

OpenSSL                    OpenSSL 0.9.8k 25 Mar 2009           D:/OpenSSL

JDK                             jdk1.6.0_12                                      D:/Program Files/Java/jdk1.6.0_12


 

说明:

我的Openssl使用的是工具包,就是目录下只有一些exe文件和.manifest文件什么的。根据后面步骤的需要我们还需要做如下工作。

1、从Openssl的带源代码的完整包的openssl-x.x.x/apps目录下拷贝一个Openssl.cnf配置文件放在D:/OpenSSL下

2、在D:/OpenSSL下面创建ca、jks、server、client四个文件夹。

3、下面步骤中红色标识的是我曾经遇到的问题,或者跟原文不一样的地方。

 

 

开始:

一:生成CA证书

 

目前不使用第三方权威机构的CA来认证,自己充当CA的角色。

网上下载一个openssl软件

1.       创建私钥 :

D:/OpenSSL>openssl genrsa -out ca/ca-key.pem 1024

2.创建证书请求 :

注意:这一步我执行是提示缺少openssl文件,这就是为什么我们需要拷贝一个openssl.cnf文件到这里的原因。

         当然也可以使用 -config 参数指定一个别的完整路径或者自己写一个简单的配置文件。偶是不会写啦^_^

D:/OpenSSL>openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem -config openssl.cnf 

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:zhejiang

Locality Name (eg, city) []:hangzhou

Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision

Organizational Unit Name (eg, section) []:test

Common Name (eg, YOUR name) []:root

Email Address []:sky

3.自签署证书 :

D:/OpenSSL>openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650

4.将证书导出成浏览器支持的.p12格式 :

D:/OpenSSL>openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12

密码:changeit      

二.生成server证书。

1.创建私钥 :

D:/OpenSSL>openssl genrsa -out server/server-key.pem 1024

2.创建证书请求 :

D:/OpenSSL>openssl req -new -out server/server-req.csr -key server/server-key.pem -config openssl.cnf

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:zhejiang

Locality Name (eg, city) []:hangzhou

Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision

Organizational Unit Name (eg, section) []:test

Common Name (eg, YOUR name) []:localhost   注释:一定要写服务器所在的ip 地址 //红色这里是本机测试,所以我写localhost

Email Address []:sky

3.自签署证书 :

D:/OpenSSL>openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650

4.将证书导出成浏览器支持的.p12格式 :

D:/OpenSSL>openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12

密码:changeit

三.生成client证书。

1.创建私钥 :

D:/OpenSSL>openssl genrsa -out client/client-key.pem 1024

2.创建证书请求 :

D:/OpenSSL>openssl req -new -out client/client-req.csr -key client/client-key.pem -config openssl.cnf

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:zhejiang

Locality Name (eg, city) []:hangzhou

Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision

Organizational Unit Name (eg, section) []:test

Common Name (eg, YOUR name) []:sky

Email Address []:sky      注释:就是登入中心的用户(本来用户名应该是Common Name ,但是中山公安的不知道为什么使用的Email Address ,其他版本没有测试)

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:123456

An optional company name []:tsing

3.自签署证书 :

D:/OpenSSL>openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650

4.将证书导出成浏览器支持的.p12格式 :

D:/OpenSSL>openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12

密码:changeit

四.根据ca证书生成jks文件

 

命令提示行下到jre目录下执行 keytool -keystore C:/openssl/bin/jks/truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file C:/openssl/bin/ca/ca-cert.pem

到jre

五.配置tomcat ssl

修改conf/server.xml。原文是5.5和6.0版本的配置,我用的是7.0,配置如下。

xml 代码

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS"
               keystoreFile="server.p12 " keystorePass="changeit" keystoreType="PKCS12"
               truststoreFile="truststore.jks " truststorePass="222222" truststoreType="JKS"
               SSLCertificateFile="../server-cert.pem" 
               SSLCertificateKeyFile="../server-key.pem" />

      红色部分的配置原文没有提到,我在启动tomcat时总是提示证书不存在或者格式非法,搞了好久=.=!

      后来在帮助文档中看到这两个配置才找到原因。

      这里使用到了四个文件,各个文件都是在前面的步骤中生成的。四个文件都是放在tomcat的根目录下。

      蓝色标识的server.p12和truststore.jks这两个文件需要放在tomcat的根目录下。

      红色的server-cert.pem和server-key.pem默认是放在tomcat的bin文件夹下的,我放在了根目录下,所以这里使用了相对路径../。

六.导入证书

将ca.p12,client.p12分别导入到IE中去(打开IE->;Internet选项->内容->证书)。

ca.p12导入至受信任的根证书颁发机构,client.p12导入至个人

 

七.验证ssl配置是否正确访问你的应用http://localhost :8443/ ,如果配置正确的话会出现请求你数字证书的对话框。

 

验证

在我验证时,我没有导入ca.p12和client.p12也能访问http://localhost:8443,只是提示证书不安全。安装了以后也没有变化。是不是没有对客户端进行验证?

 

 

 

 

               Tomcat单向认证

 

转自 http://www.iteye.com/topic/347719

 

在命令提示符窗口,进入Tomcat目录,执行以下命令: 

keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600 

通过以上步骤生成server.keystore证书文件、 

 

将servlet.xml一下的的注释打开(最好拷贝此段) 

<!-- Define a SSL HTTP/1.1 Connector on port 8443 -->   

<Connector protocol="org.apache.coyote.http11.Http11Protocol"     

                     port="8443" maxHttpHeaderSize="8192"   

           maxThreads="150" minSpareThreads="25" maxSpareThreads="75"   

           enableLookups="false" disableUploadTimeout="true"   

           acceptCount="100" scheme="https" secure="true"   

           clientAuth="false" sslProtocol="TLS"                    

           keystoreFile="server.keystore"     

           keystorePass="changeit"/>  

到这一步访问https;//ip:8443/item 

 

一般Tomcat默认的SSL端口号是8443,但是对于SSL标准端口号是443,这样在访问网页的时候,直接使用https而不需要输入端口号就可以访问,如https://loalhost/webserver 

想要修改端口号,需要修改Tomcat的server.xml文件: 

1.non-SSL HTTP/1.1 Connector定义的地方,一般如下: 

     <Connector port="80" maxHttpHeaderSize="8192" 

                maxThreads="500" minSpareThreads="25" maxSpareThreads="75" 

                enableLookups="false" redirectPort="443" acceptCount="100" 

                connectionTimeout="20000" disableUploadTimeout="true" /> 

将其中的redirectPort端口号改为:443 

2.SSL HTTP/1.1 Connector定义的地方,修改端口号为:443,如下: 

<Connector     

   port="443" maxHttpHeaderSize="8192" 

   maxThreads="150" minSpareThreads="25" 

   maxSpareThreads="75" 

   enableLookups="false" 

   disableUploadTimeout="true" 

   acceptCount="100" scheme="https" 

   secure="true" 

   clientAuth="false" sslProtocol="TLS" 

   keystoreFile="conf/tomcat.keystore" 

   keystorePass="123456" /> 

3.AJP 1.3 Connector定义的地方,修改redirectPort为443,如下: 

     <Connector port="8009" 

                enableLookups="false" redirectPort="443" protocol="AJP/1.3" /> 

 

重新启动Tomcat就可以了。到这一步可以形成访问方式 http://ip/item 

 

到tomcat下面的webapps下面的ROOT下面的index.jsp文件的内容 

<?xml version="1.0" encoding="ISO-8859-1"?> 

  <%response.sendRedirect("/item");%> 

 

修改web.xml文件的内容 

<?xml version="1.0" encoding="ISO-8859-1"?> 

<web-app xmlns="http://java.sun.com/xml/ns/j2ee" 

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 

    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" 

    version="2.4"> 

 

  <display-name>Welcome to Tomcat</display-name> 

  <description> 

     Welcome to Tomcat 

  </description> 

 

  <welcome-file-list> 

   <welcome-file>/index.jsp</welcome-file> 

  </welcome-file-list> 

</web-app> 

删除lib目录下的lib文件 

重启Tomcat服务器,在这一步可以直接通过https:ip来访问项目 

mib_2012
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSL加密详解(看这一篇就懂了)
嫌疑人X的解忧杂货店
05-02 1万+
https协议中,SSL加密是竟然是这样实现的,最详细的解析,包教包会。
邮箱安全怎么管理?邮箱中的SLL加密是什么意思?
XIYUXU20的博客
12-31 707
当我们在使用邮件的过程中,安全性一直是最关注的问题。经常会看到邮箱服务商再选宣传时会提到“SSL加密传输”一词,作为很多初步接触邮箱的伙伴同不了解其意义,使用这个有什么好处?今天来给大家科普一下关于SSL加密技术的小知识~
tomcat中配置ssl证书(keyStore)密码问题
AS_JOPO的专栏
11-11 7350
protocol="org.apache.coyote.http11.Http11NioProtocol"    port="8443" maxThreads="200"    scheme="https" secure="true" SSLEnabled="true"    keystoreFile="${user.home}\\Desktop\\ca.jks"     keystore
tomcat实现SSL配置(详细版)
weixin_33696106的博客
03-16 293
2019独角兽企业重金招聘Python工程师标准>>> ...
SSL常见加密算法
u010287624的专栏
05-15 807
本文章来自  VeriSign SSL证书-维瑞 技术中心 密码学简介 据记载,公元前400年,古希腊人发明了置换密码。1881年世界上的第一个电话保密专利出现。在第二次世界大战期间,德国军方启用“恩尼格玛”密码机,密码学在战争中起着非常重要的作用。 随着信息化和数字化社会的发展,人们对信息安全和保密的重要性认识不断提高,于是在1997年,美国国家标准局公布实施了“美国数
opensll 加密解密
05-31
1. **对称加密**:这是最基本的数据加密方式,如AES(高级加密标准)、DES(数据加密标准)和3DES(三重DES)。对称加密使用相同的密钥进行加密和解密,速度快,适合大量数据的处理。在OpenSSL中,可以使用`openssl ...
openssl数字签名和加密
12-04
在IT领域,尤其是在网络安全和数据保护方面,OpenSSL库是一个至关重要的工具,它提供了丰富的功能,包括加密、解密、数字签名以及证书管理等。在这个主题中,我们将深入探讨"openssl数字签名和加密",主要关注如何在...
OpenSSL库和头文件
05-12
OpenSSL 是一个强大的安全套接层 (SSL) 和传输层安全 (TLS) 实现的开源库,它提供了各种加密算法、数字证书管理功能以及用于安全通信的协议。这个压缩包包含的是预先编译好的 OpenSSL 库和头文件,适用于 Visual ...
QtWebsocket SLL加密通信Demo(包含客户端和服务端 QTcreator项目).rar
06-27
在本文中,我们将深入探讨如何使用Qt库中的QWebSocket实现SSL加密通信,特别是在Windows和Linux双平台上。首先,让我们理解一下关键概念。 WebSocket是一种在客户端和服务器之间建立长连接的协议,它允许双方进行...
QTcpSocket SLL加密Demo(包含客户端和服务端,QTCreator项目).rar
06-27
QTcpSocket是Qt库中的一个类,用于处理TCP网络通信,它是Qt对标准C++套接字库的封装,提供了一种方便的方式来实现客户端和服务器之间的数据传输。在这个"QTcpSocket SSL加密Demo"中,重点是展示了如何在QTcpSocket的...
配置Tomcat使用https协议(配置SSL协议)
热门推荐
jimmy609的专栏
01-20 12万+
转载地址:http://ln-ydc.iteye.com/blog/1330674 内容概览: 如果希望 Tomcat 支持 Https,主要的工作是配置 SSL 协议   1.生成安全证书   2.配置tomcat ----------------------------------------------------------------------
阿里云https证书tomcat配置
愤怒的苹果ext的博客
04-10 1万+
阅读本文前,请先参看前文http://blog.csdn.net/baidu_19473529/article/details/70037696 当我们使用Java生成的证书使用https访问时会出现未认证的问题,证书风险 现在我们就申请一个阿里云云盾的免费证书 一、登录阿里云-->安全(云盾)-->证书服务->购买证书 在配置单中选择 "免费型DV SSL"
SSL 加密方式
小程序
08-23 1万+
  加密方式   密码学是涉及数学、电子信息、计算机等多学科的一门重要学科,是现代互联网安全的基石,也是目前如火如荼的区块链技术的安全保障。概括来说,加密方式可归结为不可逆加密与可逆加密。   不可逆加密   信息摘要(Message Digest)和安全散列(Secure Hash)算法属于此类,常见的算法包括 MD5、SHA1、PBKDF2、bcrypt 等。此类算法可将任意大小...
tomcat数据源密码加密
T_P_F的博客
07-07 2533
tomcat/conf/server.xml在<Context>节点下新增<Resource>节点 <Resource name="orcl" auth="Container" type="javax.sql.DataSource" username="runqian"password="\u0072\u0075\u006e\u0071\u0069\u0061\u006e" driverClassName="oracle.jdbc.d
SSL及其加密通信过程
qq_40149612的博客
09-21 1万+
SSL协议和加密过程一、什么是SSL二、HTTPS和SSL三、SSL加密方式3.1 对称加密与非对称加密3.1.1对称加密3.1.2非对称加密3.2 具体的加密过程 一、什么是SSL SSL英文全称Secure Socket Layer,安全套接层,是一种为网络通信提供安全以及数据完整性的安全协议,它在传输层对网络进行加密。它主要是分为两层: SSL记录协议:为高层协议提供安全封装、压缩、加密等...
tomcat8的apr模式配置SLL证书
Gabriel_Tie的博客
03-30 1448
应公司的的推广需求,要求所有的一些广告页面都必须可以被https访问,网上搜了一些方法,发现很多都没有写下什么环境和版本下的配置很多都是转载,现在写下自己的碰到的一些问题和解决方法。 1.环境和配置: 服务器操作系统,Windows Server 2012 R2 JDK版本:jdk1.8_074 tomcat版本:tomcat8.0.39 服务器为国内租用的云服务器 域名为公司正规注册
微信小程序开发(6)---Tomcat配置阿里云SSL证书(配置HTTPS)
老邓头
07-13 9356
Tomcat配置阿里云SSL证书
tomcat9 配置SSL证书
方块♦的博客
01-30 8620
很多教程配置ssl证书,通过观察其server.xml文件发现其实并不是tomcat9这个版本的,然后我这用的是最新版的 Tomcat9,server.xml文件有点变化,配置应该如下 &lt;!-- &lt;Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" ...
使用Openssl为Tomcat配置SSL(双向认证)
孙钰佳的博客
10-05 2万+
转载请注明出处:http://blog.csdn.net/sunyujia/其实我手头上有许多正规ca颁发的证书不过都是过期的,每次使用都需要调整系统日期,不方便,所以就想自己做一套以备平时测试使用。本文只介绍如何配置,至于理论性的东西请读者自行 百度或者google 网上很多配置步骤:1.安装检查openssl环境安装openssl的方法见http://blog.csdn.n
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值