工作日记:内网环境Java生成自签证书以及Tomcat配置证书流程

已于 2022-01-19 10:48:51 修改
阅读量3.4k 收藏 15
点赞数 1
分类专栏: 工作问题备忘录 文章标签: tomcat java 服务器 https 自签证书
于 2022-01-07 09:02:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41188880/article/details/122339795
版权

一、准备

首先你要有个服务器,服务器上要有JDK和Tomcat,JDK和Tomcat的安装请自行百度,这里不赘述。
我的JDK版本为1.8.0_311,Tomcat版本为10.0.14,其他版本请自行验证。配置中我全程使用的是root用户,如果你用的是其他用户,请注意相应的Linux权限问题。因为我用的是java的keytool工具,所以Windows生成证书的命令跟Linux的命令一样,与操作系统无关。

二、为服务器生成自签证书(单双向认证都需要)

1.在/opt目录下创建ca文件夹

目的:方便证书管理,具体放在哪个文件夹没有硬性要求,放在/opt文件夹下是我个人的习惯。
命令
(1)移动到/opt文件夹: cd /opt
(2)创建ca文件夹:mkdir ca
截图
在这里插入图片描述

2.创建服务器证书(keystore格式)

命令
(1)移动到刚刚创建的ca文件夹下:cd /opt/ca
(2)利用Java自带的keytool工具创建服务器证书:keytool -genkey -v -alias tomcat -keyalg RSA -ext SAN=ip:82.156.193.157 -validity 365000 -keystore tomcat.keystore
命令参数说明
-genkey:在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书。
-v:显示密钥库中的证书详细信息
-alias:设置证书别名,设置后会替代默认的mykey。
-keyalg:设置秘钥算法。
-ext:扩展,可以设置域名信息与内外网地址。如果是IP方式访问用-ext SAN=ip:你的IP,如果是域名用-ext SAN=dns:你的域名
-validity:设置证书有效期,最大为9999年。
-keystore:指定密钥和证书库,如果是放到Windows系统的C盘,需要管理员权限。
截图
在这里插入图片描述

三、为客户端生成自签证书(仅双向认证需要,单向认证可忽略)

1.创建客户端证书(p12格式)

目的:HTTPS比HTTP协议安全的主要原因就是HTTPS比HTTP多了证书验证这一步,阻止了中间人攻击。HTTPS的认证方式有两种,一是单向认证,二是双向认证。对于安全性要求不高的系统,采用单向认证就足够了,也就是客户端认证服务器端。但是如果想使系统安全性更高,我们就需要利用客户端证书来实现双向认证。

命令
(1)利用Java自带的keytool工具创建客户端证书:keytool -genkey -v -alias client -keyalg RSA -validity 365000 -storetype PKCS12 -keystore client.p12
参数说明
-genkey:在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书。
-v:显示密钥库中的证书详细信息
-alias:设置证书别名。
-keyalg:设置秘钥算法。
-validity:设置证书有效期,最大为9999年。
-storetype:设置密钥库的类型
-keystore:指定密钥库,如果是放到Windows系统的C盘,需要管理员权限。
截图
在这里插入图片描述

2.将p12格式的客户端证书转换为cer格式

目的:p12格式的证书无法直接导入客户端证书(tomcat.keystore)中,需要先转换成cer格式。
命令
(1)p12格式转cer格式:keytool -export -alias client -keystore client.p12 -storetype PKCS12 -storepass 123456 -rfc -file client.cer
参数说明
-export:导出证书
-alias:设置别名
-keystore:指定源证书的路径与名称
-storetype:指定源证书的类型
-storepass:验证源证书的密码
-rfc:将以可打印的编码格式输出证书
-file:指定目标证书的路径、文件名和类型
截图
在这里插入图片描述

四、将客户端证书导入服务器证书中(仅双向认证需要,单向认证可忽略)

1.客户端证书导入服务器证书

目的:服务器端认证客户端证书。
命令
(1)将客户端证书导入服务器证书中:keytool -import -v -file client.cer -keystore tomcat.keystore
参数说明
-import:导入证书
-v :显示密钥库中的证书详细信息
-file:填写被导入证书的路径与文件名,此处为客户端证书
-keystore:填写目标证书的路径与文件名,此处为服务器端证书
截图
在这里插入图片描述

2.查看导入情况

目的:验证证书导入情况
命令
(1)在屏幕打印证书详情:keytool -list -keystore tomcat.keystore
证书信息说明:由于在导入时没有给客户端证书设置别名,因此客户端证书别名默认为mykey
截图
在这里插入图片描述

五、Tomcat配置服务器端证书(单双向认证都需要)

目的:通过配置Tomcat的server.xml文件,让Tomcat能够解析服务器证书。其他服务器配置证书的方式请自行百度。
操作步骤
(1)将以下代码加入到Tomcat的server.xml文件中,注意Tomcat 8、9和Tomcat 10的添加写法不一样。配置项“clientAuth”设置为false,即可关闭Tomcat验证

<!--  Tomcat 8、9添加证书  -->
<Connector
	port="443"
	protocol="org.apache.coyote.http11.Http11NioProtocol"
	SSLEnabled="true"
	scheme="https"
	secure="true"
	keystoreFile="/opt/ca/tomcat.keystore"
	keystorePass="123456"
	clientAuth="false"
	SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"
     ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"
     truststoreFile="/opt/tomcat.keystore"
 	truststorePass="123456"
 	/>
<!-- Connector参数说明:
Connector参数我只写了我需要的那部分,Connector参数还有很多,具体参数介绍请直接看Tomcat 9的官方说明:https://tomcat.apache.org/tomcat-9.0-doc/config/http.html -->
 	
<!--  Tomcat 10添加证书  --> 	
<Connector
     protocol="org.apache.coyote.http11.Http11NioProtocol"
     port="443"
     clientAuth="false"
     SSLEnabled="true">
          <SSLHostConfig>
               <Certificate
                    certificateKeystoreFile="/opt/ca/tomcat.keystore"
                    certificateKeystorePassword="123456"
                    type="RSA"
                    />
          </SSLHostConfig>
     </Connector>
<!-- Connector参数说明:
Connector参数我只写了我需要的那部分,Connector参数还有很多,具体参数介绍请直接看Tomcat10 的官网说明:https://tomcat.apache.org/tomcat-10.0-doc/ssl-howto.html#Configuration -->

六、客户端安装服务器证书(单双向认证都需要)

1.将服务器证书keystore转为cer格式

目的:cer格式便于在浏览器、Windows系统、iis证书安装,便于用Hbuilder打包安卓APP等(Hbuilder直接用keystore就行) 。
命令
(1)keytool -keystore tomcat.keystore -export -alias tomcat -file server.cer
参数说明:可以参考客户端p12格式转cer格式
截图
在这里插入图片描述

2.浏览器、Windows安装服务器证书

这里以Chrome浏览器为例,edge、火狐、360、2435、QQ等浏览器通用,IE浏览器配置方法请自行百度。
(1)复制服务器证书到客户端。我用的是WinSCP将服务器端证书(server.cer)下载到客户端电脑上的。
(2)双击服务器证书文件(server.cer),点击安装证书。
在这里插入图片描述
(3)选择安装证书到当前用户,或全部用户,这里我选择安装给这台电脑上的全部用户
在这里插入图片描述
(4)选择证书存储位置,这里要选择“受信任的根证书颁发机构”
在这里插入图片描述
(5)完成安装
在这里插入图片描述

七、验证奇迹的时刻(客户端成功单向认证服务器!)

打开浏览器,利用HTTPS访问Tomcat服务器的示例项目,可以看到已经实现了HTTPS连接,单向认证已经实现。
截图
在这里插入图片描述

八、验证究极奇迹的时刻(客户端与服务器双向认证!)

百亿须弥山,百亿日月,名为三千大千世界。这世界里有多少种服务器,我们无从得知。每种服务器又有多少种配置我们也无从得知。所以我只介绍四款主流服务器的客户端认证配置项。
文章尚未完成,最后更新日期为:2022-01-19 10:46:50

1.Tomcat服务器开启客户端认证

2.Nginx服务器开启客户端认证

3.Apache服务器开启客户端认证

4.Microsoft IIS 服务器开启客户端认证

达娃里氏
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
tomcat 配置自签名证书
qq_35605231的博客
12-31 2417
前言: 项目应用中,我们会遇到https请求的场景,有两种解决方案:一种是申请ssl证书,第二种是创建自签名证书。 一、创建自签名证书之前是你的机器已安装JDK环境(这里不做赘述)。 下面我们开始制作自签名证书: 打开 cmd 命令窗口,输入命令: 给域名配置https keytool -genkey -v -alias tom...
java 自签名ssl证书_自签名SSL证书生成
weixin_34091081的博客
02-16 1258
签证虽然提示:不安全。但还是有很多的好处,所以下面先说说自签证生成,主要使用Java JDK下的:keytool.exe2:安装完后,根据实际的路径找到keytool.exe,如我的在此路径:C:\Program Files (x86)\Java\jdk1.8.0_101\bin\keytool.exe3:生成keystore。打开命令行(cmd),去到keytool所在的路径,运行:ke...
tomcat7 ssl 双向验证
草木兰
08-19 118
    SUN公司提供了制作证书的工具keytool。在JDK 1.4以后的版本中都包含了这一工具,它的位置为&lt;JAVA_HOME&gt;\bin\keytool.exe 1、生成证书,36500表示100年,用户名输入域名,如localhost(开发或测试用)或IP或域名keytool -genkey -alias tomcat -keyalg RSA -keypass 123456 ...
tomcat8配置https生成证书
最新发布
棉花糖老丫
06-01 832
生成客户端证书: 由于某些浏览器对证书有一定的格式要求,指定生成证书格式为PKCS12。JDK的cacerts这个keystore的默认密码是changeit。查看证书是否已导入到JDK。
tomcat 证书
珍惜
02-27 754
第一步:为服务器生成证书 1、进入%JAVA_HOME%/bin目录 2、使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件存放在“D:\tomcat.keystore”,口令为“password”,使用如下命令生成:   keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\t...
Tomcat签证
weixin_45579753的博客
10-22 517
1.使用jdk的工具keytool生成证书 命令: sudo $JAVA_HOME/bin/keytool -genkeypair -alias tomcat -keyalg RSA -keystore /usr/local/tomcat/server.keystore 在生成证书的过程中会要求填写password,记住这个password; 在填写证书时,第一个CN是要访问的地址,例如这里用localhost; 在jdk路径下的bin文件夹中使用keytool生成密钥对; 其中参数alias必须是tomc
openssl+keytool+tomcat自签名证书
07-24
openssl+keytool+tomcat自签名证书
工控安全职业证书技能实践:内网横向渗透测试与实战.docx
07-13
【工控安全职业证书技能实践:内网横向渗透测试与实战】 工控安全涉及的是工业控制系统中的网络安全,它要求专业人士具备识别、防范和应对安全威胁的能力。本实践课程旨在教授学员如何进行内网横向渗透测试,模拟...
工控安全职业证书技能实践:内网横向渗透测试与实战.pptx
07-11
工控安全职业证书技能实践:内网横向渗透测试与实战.pptx
Apache生成证书,https代理方式.txt
01-10
由于项目是内网,,安全监测不通过,所以要求为用户提供https开头的地址,他们提供了证书,所以根据这个设置来配置apache的https代理 耐心地,一步步对着配置,apache不好的就是,配置失败了启动不起来,没有日志记录,这是最...
wenat-client-java:Wenat内网穿透,java版客户端
02-03
Java的WeNat客户端 下载地址 WeNAT是一个穿透内网的工具,利用wezoz的服务器,和本地计算机,建立一条专有的通道,转换外网的请求转发到本地,从而实现穿透。常见应用:支付接口调试,微信接口,个人电脑建设网站 ...
java数字签名(签名生成,用证书验证签名)
03-22
java数字签名(签名生成,用证书验证签名)
Tomcat配置HTTPS证书认证
05-20
Tocmat下的HTTPS认证,折腾了一天了,终于弄成了,记录下!
IntraChat:Java Serverless 内网聊天
06-26
【IntraChat:Java Serverless 内网聊天】 在当今的企业环境中,内部沟通与协作是至关重要的,而IntraChat项目则提供了一种基于Java Serverless架构的内网聊天解决方案。这种架构允许开发者构建轻量级、高可用、可...
tomcat 证书配置
vjnjjs的专栏
09-18 149
查看变量 export 设置变量 export LC_ALL="en_US.UTF-8"     生成server key /home/jdk15/jre/bin/keytool -genkey -alias server -keyalg RSA -keypass 123456 -storepass 123456 -keystore server.keystore  -validity 7200 ...
内网创建https网站的SSL证书、代码签名证书
苹果2008的博客
03-18 7452
本文重点讲解使用同一根证书,分别制作网站https的SSL证书、VSTO的代码签名证书,制作环境为安装了vs 2022的windows10、安装了openssl的centos7。 一、制作根证书
如何配置tomcat证书
jellcy的专栏
12-27 1586
如何配置tomcat证书 文章分类:Java编程引用项目需要在tomcat配置ssl认证,学习了一下怎么配置,由于对pki认证体系、证书的制作和发放过程不了解,整个配置过程坎坷,所以配置成功后立即记录下来希望以后遇到类似的情况有所参考。 本文讲述了如何使用 openssl 制作证书、keytool生成证书申请并将证书导入证书库、如何配置tomcat,和配置当中出现问题的解释。     本文用到的工具:OpenSSL.rar(在附件下载)  keytool(JDK中自带的工具) 使用 openssl 生成
命令安装cer证书_【Linux】Tomcat8.0.52导入证书详细教程
weixin_34294809的博客
01-15 1882
首先要配置好jdk环境变量,如果不会的同学可参考Linux CentOS7安装配置Tomcat8.0.52版本教程证书要放到jdk的bin目录下,如下图所示:图1 上传证书进入jdk的bin目录[root@192 ~]# cd /usr/local/java/jdk1.8.0_221/bin/执行命令:keytool -importcert -trustcacerts -keystore "/us...
java 签名验证原理_在Java中使用自签名证书时SSL的工作原理
weixin_35698805的博客
03-02 204
我正在开发一个HTTPS服务,该服务将部署在具有自签名证书服务器和将接受所有证书的客户端上 . 我是SSL的新手 .显然 . 你_浪费时间 . 您也可以根本不使用SSL . 客户端应接受此证书和所有CA证书,而不是所有证书 . 如上所述,您的系统容易受到中间人攻击 .如果我理解正确,Java客户端将使用服务器的公钥(使用服务器的公共证书安装)来加密要发送到服务器的数据 .你没有 . 它没有 . ...
紫区办公开发指导说明文档
02-03
紫区办公开发指导说明文档

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

达娃里氏

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值