Tomcat添加https访问和双向认证

最新推荐文章于 2023-07-13 19:07:07 发布
最新推荐文章于 2023-07-13 19:07:07 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: tomcat,TLS 文章标签: tomcat TLS 双向认证 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26708427/article/details/68491201
版权
  1. 先说配置Tomcat服务为https访问和单向认证
    (1)在Tomcat的根目录下找到/conf/server.xml文件打开,找到如下位置

    (2)    这段配置修改为如下配置

<Connector port="8443" 
      protocol="org.apache.coyote.http11.Http11Protocol" 
      maxThreads="150"  
      SSLEnabled="true"  
      scheme="https"  
      secure="true" 
      keystoreFile="C:\mPosInstall\keystore"  
      keystorePass="server"
      clientAuth="false"  
      sslProtocol="SSL"  
      ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,
                   TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
                   TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
                   TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,
                   TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
                   TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, 
                   TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, 
                   TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, 
                   TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
                   TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
                   TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
                   TLS_DHE_RSA_WITH_AES_256_CBC_SHA, 
                   TLS_RSA_WITH_AES_128_GCM_SHA256,
                   TLS_RSA_WITH_AES_128_CBC_SHA,
                   TLS_RSA_WITH_AES_256_CBC_SHA,
                   TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                   TLS_RSA_WITH_RC4_128_SHA,
                   TLS_RSA_WITH_RC4_128_MD5" 
        sslEnabledProtocols="TLSv1.2" />

这段配置中
keystoreFile="C:\mPosInstall\keystore"   keystorePass="server"
需要根据自己的证书进行调整,其中keystoreFile 可以使用相对路径
(3)在本地配置信任证书
现在这个网站是可以访问的,但是会提示证书风险,这是使用360和IE访问的情况,现在可以点击查看证书,将证书安装到“受信任的根证书颁发机构”目录下,之后重启浏览器访问,这个证书异常就会消失,如下图

        

  1. 下面在说双向认证的配置
    (1)修改/conf/server.xml文件,上次修改的地方修改如下 

<Connector port="443"  
       protocol="org.apache.coyote.http11.Http11Protocol" 
       maxThreads="150"  
       SSLEnabled="true"  
       scheme="https" 
       secure="true" 
       keystoreFile="C:\mPosInstall\keystore" 
       keystorePass="server" 
       truststoreFile="C:\mPosInstall\client.truststore"
       truststorePass="server"
       clientAuth="true"  
       sslProtocol="SSL"  
       ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, 
                   TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
                   TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, 
                   TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, 
                   TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,
                   TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                   TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
                   TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,
                   TLS_ECDHE_RSA_WITH_RC4_128_SHA, 
                   TLS_DHE_RSA_WITH_AES_128_CBC_SHA,
                   TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
                   TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
                   TLS_RSA_WITH_AES_128_GCM_SHA256, 
                   TLS_RSA_WITH_AES_128_CBC_SHA,
                   TLS_RSA_WITH_AES_256_CBC_SHA,
                   TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                   TLS_RSA_WITH_RC4_128_SHA,
                   TLS_RSA_WITH_RC4_128_MD5" 
        sslEnabledProtocols="TLSv1.2" /> 

添加属性有

truststoreFile="C:\mPosInstall\client.truststore" truststorePass="server"
client.truststore里面放的是信任客户端的证书

修改属性有  clientAuth="true"  

修改完成重启tomcat
(2)添加本地私钥
现在访问网站发现无法访问了,还不明白怎么回事,但你用Chrome访问时,还有一个提示: XX网站不接受您的登录证书,或者您可能没有提供登录证书。
先打开如下画面IE:internet选项→内容→证书
其他浏览器:选项→管理证书
 
点击导入,把自己制作的P12证书放入到“个人”目录下。注意:导入时要输入证书密码
这个时候在刷新页面就会看到如下画面,(由浏览器而定)
      
点击确定以后,就可以访问成功了.(部分浏览器导入密钥后可能需要重启浏览器)

  1. 附上生成证书需要的bat内容

    set SERVER_DN="CN=192.168.XX.XX, OU=cybersoft.com, O=cybersoft, L=CN, S=CN, C=CN" 
    set CLIENT_DN="CN=cybersoft.com.tw, OU=cybersoft.com, O=cybersoft, L=CN, S=CN, C=CN"
    set PASS_SET="client"
    set SPASS_SET="server"
    set CER_ROOT_PATH="e:\SSL"
    :: 路径不存在则创建路径
    if not exist %CER_ROOT_PATH% md %CER_ROOT_PATH%

::制作 keystore

keytool -genkey -alias cyber_server -keyalg RSA -keystore%CER_ROOT_PATH%/keystore -dname %SERVER_DN% -storepass %SPASS_SET% -keypass%SPASS_SET% -validity 36500

 

keytool -genkey -alias cyber_client -keyalg RSA-storetype PKCS12 -keystore %CER_ROOT_PATH%/client.key.p12 -dname %SERVER_DN%-keypass %PASS_SET% -storepass %PASS_SET% -validity 36500

 

keytool -export -alias cyber_server -keystore %CER_ROOT_PATH%/keystore-storepass %SPASS_SET% -rfc -file %CER_ROOT_PATH%/server.cer

 

keytool -export -alias cyber_client -storetype PKCS12-keystore %CER_ROOT_PATH%/client.key.p12 -storepass %PASS_SET% -rfc -file%CER_ROOT_PATH%/client.cer

 

keytool -import -file %CER_ROOT_PATH%/server.cer-storepass %PASS_SET% -keystore %CER_ROOT_PATH%/truststore.jks -noprompt

 

keytool -import -file %CER_ROOT_PATH%/client.cer-storepass %SPASS_SET% -keystore %CER_ROOT_PATH%/client.truststore -noprompt

 

pause

 

把上面的内容复制到文本文件中,修改后缀名为bat,然后执行

其中红色部分,请修改为自己的域名或IP

运行后生成的文件在e:\SSL,目录结构为

其中keystore和client.truststore是在tomcat中配置的

client.key.p12需要在客户端导入到“个人”目录中

 

沈泽文
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcat发布网页,使内网外网都可以访问
boxcs的博客
10-24 4171
1:将网页放在:webapps下; 2:打开tomcat登录; 3:运行----cmd-----ipconfig,获得本机ip; 4:登录路由器管理界面,转发规则----虚拟服务器-----添加新条目【添加对应端口,以及本机ip】; 5:现在就可以访问发布的网页了【切记,访问时所用的ip为路由器的ip,而不是本机ip】。
apache,nginx及tomcat中配置SSL双向访问
洋仔专栏
06-24 586
网上很多教程说配置的,对于双向的很少,按照tomcat中想当然的配置了nginx中配置,失败。翻网页,继续失败。在apache中试了,失败,翻网页,继续失败。打开错误日志,发现问题。翻看手册,问题解决。感谢“神童哥”的帮助,以下特别需要注意的部分:1 tomcat的SSL双向很简单,略2 nginx,常规命令安装后:nginx.conf,需要注意的是你的证书链长
干货 | 图解 https 单向认证双向认证
倒骑驴走着瞧的博客
02-17 380
一、Http HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。 使用TCP端口为:80 二、Https Hyper Text Transfer Protocol over Secure Socket Layer,安全的超...
使用https进行通信加密
lwy572039941的博客
02-01 2760
使用https进行通信加密 对于一些安全性需求比较高的项目,单单防止越权,sql,cookie等攻击发生的安全问题外,还需要注意的是请求被窃取。HTTP请求是明文传输,这样容易被黑客抓住漏洞进行攻击,如何攻击呢,下面举一个简单的例子。 很多项目都是用token进行用户信息的判断,然后我用抓包工具进行抓包,可以看到这条请求的token和cookie等信息被窃取到了,之后就可以利用这个token跳过用...
服务器没有收到您的证书或您的证书已过期,此网站出具的安全证书已过期或还未生效。安全证书问题可能显示试图欺骗您或截获您向服务器发送的数据。建议关闭此网页,并且不要继续浏览该网站。 (我用网银充值用财付通...
weixin_32780623的博客
07-30 3557
你好!可能是您的浏览器设置不正确导致,您可以尝试以下解决方法:方法一:清空缓存打开浏览器在最上面的“工具”=》“Internet选项”=》“常规”=》“删除cookies,删除文件,清除历史记录”,清完后退出(以IE6.0为例)。详细的操作步骤点击这里 http://service.qq.com/info/43282.html查看;方法二:更换浏览器建议您将浏览器更换为IE6或TT浏览器,再尝试重...
TomcatWebService双向认证
04-04
TomcatWebService双向认证】指的是在使用Apache Tomcat服务器和Axis2框架构建Web服务时,实施的一种高级安全机制。这种认证方式要求客户端和服务端都必须提供有效的身份凭证,以确保通信双方的身份得到验证,增强...
tomcat实现SSL双向认证
11-15
Tomcat 中配置 SSL 双向认证需要在 server.xml 文件中添加相应的配置信息。包括设置 SSL 协议、keystore 文件、keystore 口令、客户端认证等。客户端认证可以设置为 true、false 或 want,分别表示强制双向认证、...
apache-tomcat配置SSL双向认证
02-26
在本文中,我们将深入探讨如何在Tomcat 6环境中设置SSL双向认证,确保客户端和服务器之间的通信既加密又经过身份验证。 首先,系统需要满足以下前提条件: 1. JDK 5.0 或更高版本 2. Tomcat 6.0.16 或更新版本 **...
基于IIS的CA认证实现Tomcat双向认证
09-20
本文主要介绍了基于IIS的CA认证实现Tomcat双向认证的过程,涉及到CA服务器的搭建、证书申请、证书颁发和Tomcat的配置等方面。 CA服务器搭建 在Windows 2008上安装“IIS”和“证书服务”,并选择“Active Directory...
Tomcat6 配置SSL双向认证通讯
07-25
完成以上步骤后,Tomcat6就能实现SSL双向认证通讯,确保了服务器和客户端之间的通信安全,防止中间人攻击和数据篡改。然而,实际操作中应注意,证书的CN应与实际域名或IP相匹配,避免浏览器出现警告。此外,对于生产...
https证书
08-13
NULL 博文链接:https://yuhuiblog695685688425687986842568269.iteye.com/blog/2294436
Tomcat + SSL双向认证(用keytool创建的证书
南歌的博客
04-22 427
步骤说明: 1、为Tomcat配置https配置CA证书 准备CA证书; 配置Tomcat的SSL连接器 2、通过 https 方式访问Web站点 实验过程: 1、创建自我签名的证书 Linux: 进入%JAVA_HOME%bin 目录: cd %JAVA_HOME%bin 在某个目录下生成.keystore文件(这里的目录是 /usr/local/...
ssl/https配置与实现
ferry_passion
11-25 8482
SSL协议使用不对称加密技术实现会话双方之间信息的安全传递。可以实现信息传递的保密性、完整性,并且会话双方能鉴别对方身份。不同于常用的http协议,我们在与网站建立SSL安全连接时使用https协议,即采用的方式来访问。 当我们与一个网站建立https连接时,我们的浏览器与Web Server之间要经过一个握手的过程来完成身份鉴定与密钥交换,从而建立安全连接。具体过程如下:  1. 用户浏览器
tomcat 配置https 双向认证
淡淡的心
11-26 3199
tomcat 配置https 双向认证1. 生成https证书1.1 Linux生成脚本1.2 windows下生成步骤1.2.1 生成server端证书1.2.2 生成client端证书1.2.3 把客户端证书导出为一个单独的CER文件1.2.4 导入到服务器的证书库,添加为一个信任证书1.2.5 查看服务器的证书库(确定是否导入成功)2. 配置tomcat3. client端安装证书 1. 生成https证书   本方案生成证书需要java环境 1.1 Linux生成脚本 #!/bin/bash ec
配置tomcat项目虚拟路径
web13618542420的博客
08-31 2893
就是使tomcat访问到webapps文件夹外的web项目,当访问webapps目录下web项目时,重新指向web项目的实际位置。方法一:打开tomcat目录下的conf/server.xml,在中的Host便签中添加。这方法无需重启tomcat
tomcat实现https登录
jack__ming的专栏
03-03 3038
两步搞定 Tomcat 下启用 https:// 访问  Capitalonline全球云主机、全球私有网络,免费试用进行时 »   这个简单教程中我们通过简单的两步就可以在 Tomcat 7 中启用 HTTPS 访问。 第一步:创建 .keystore 文件 使用如下命令生成 .keystore 文件 windows : ? 1 %
Tomcat的虚拟目录配置
PC_small_wang的博客
11-29 576
配置Tomcat的虚拟目录 (1)首先打开Tomcat所在的目录打开conf文件夹 (2)然后打开server.html (3)在server.html文件末尾添加配置 <Context path="/helloWeb" docBase="C:\tomcat_study"></Context> path即为虚拟目录,docBase即为对应的实目录。 例如: http:...
Android 客户端 okhttp3 与服务器之间的双向验证
leng_wen_rou的博客
02-28 8598
本篇是Android 客户端基于okhttp3的网络框架 和后台服务器之间的双向验证 分为三个阶段 一:简单的后台服务器搭建 二:客户端接入okhttp3,并进行的网络请求 三:服务器和客户端的双向验证 第一步:搭建简单的服务器 1:下载tomcat 2:配置tomcat 3:部署自己的web项目到tomcat 首先准备工具 ecl
11. 利用Tomcat服务器配置HTTPS双向认定
大头鱼
07-13 3074
【代码】11. 利用Tomcat服务器配置HTTPS双向认定。
tomcat9.0.62 双向认证
最新发布
01-23
双向认证是指在建立通信连接时,双方彼此验证对方的身份,确保安全性和可靠性。 在Tomcat 9.0.62中实现双向认证,需要进行以下步骤: 1. 生成服务器端证书:首先,需要在服务器上生成一个自签名的服务器端证书。这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值