使用jdk自带的工具生成数字证书

最新推荐文章于 2023-11-07 09:42:11 发布
最新推荐文章于 2023-11-07 09:42:11 发布
阅读量603 收藏 1
点赞数
分类专栏: tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shardy0/article/details/100139315
版权

一、为服务器生成证书
keytool -genkey -alias tomcat -keyalg RSA -keystore /www/wdlinux/my.keystore -dname "CN=mytomcat.com, OU=mytomcat.com, O=mytomcat.com, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit -validity 36500

-genkey表示要创建一个新的密钥
-alias密钥的别名
-keyalg使用加密的算法,这里是RSA
-keystore 密钥保存在D:盘目录下的mykeystore文件中
-keypass私有密钥的密码,这里设置为changeit
-storepass 存取密码,这里设置为changeit,这个密码提供系统从mykeystore文件中将信息取出 
-validity该密钥的有效期为 36500表示100年 (默认为90天) 

使用-dname一次性将参数填写完。

-dname表示密钥的Distinguished Names, 
CN=mytomcat.com 
OU=mytomcat.com 
O=mytomcat.com 
L=SH 
S=SH 
C=CN 
Distinguished Names表明了密钥的发行者身份

输入密钥库口令:
再次输入新口令:
您的名字与姓氏是什么?
  [Unknown]:  mytomcat.com        # 此处要写域名或者:  localhost
您的组织单位名称是什么?
  [Unknown]:  mytomcat.com
您的组织名称是什么?
  [Unknown]:  mytomcat.com
您所在的城市或区域名称是什么?
  [Unknown]:  SH
您所在的省/市/自治区名称是什么?
  [Unknown]:  SH
该单位的双字母国家/地区代码是什么?
  [Unknown]:  CN
CN=mytomcat.com, OU=mytomcat.com, O=mytomcat.com, L=SH, ST=SH, C=CN是否正确?
  [否]:  y
 
正在为以下对象生成 2,048 位RSA密钥对和自签名证书 (SHA256withRSA) (有效期为 36,50
0 天):
         CN=mytomcat.com, OU=mytomcat.com, O=mytomcat.com, L=SH, ST=SH, C=CN
输入 <tomcat> 的密钥口令
        (如果和密钥库口令相同, 按回车):
再次输入新口令:
[正在存储/www/wdlinux/my.keystore]

将mytomcat.com写入/etc/hosts中, 127.0.0.1 mytomcat.com 

二、为客户端生成证书
keytool -genkey -v -alias client -keyalg RSA -storetype PKCS12  -keystore /www/wdlinux/client.p12 -validity 36500 
"CN=mytomcat.com, OU=mytomcat.com, O=mytomcat.com, L=SH, ST=SH, C=CN"


三. 让服务器信任客户端证书
keytool -export -alias client -keystore /www/wdlinux/client.p12 -storetype PKCS12  -storepass changeit -rfc -file /www/wdlinux/clientforserver.cer

 

  • 将该文件导入到服务器的证书库,添加为一个信任证书:

keytool -import -v -file /www/wdlinux/clientforserver.cer -keystore /www/wdlinux/tomcat.keystore

  • 查看证书信息:完成之后通过list命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:

keytool -list -v -keystore /www/wdlinux/my.keystore -storepass changeit

四、让客户端信任服务器证书
keytool -export -alias tomcat -keystore /www/wdlinux/my.keystore -file /www/wdlinux/CA.cer

五、客户端安装证书
现得到如下四个证书文件
CA.cer
client.p12
clientforserver.cer
my.keystore


注:在客户端双击运行client.p12,一直点击下一步,直到显示导入成功。

六、修改tomcat参数发布服务
tomcat/bin/server.xml中修改

1、注释掉8080端口配置  (不是必须,也可以不注释,不注释的话,则http 8080端口也可以访问)

<!--<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" />-->

2、取消注释8443端口配置,修改内容:

tomcat8.5版本以上修改方式:

tomcat8.5以上版本的修改方式:
将
 <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true">
        <SSLHostConfig>
            <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
                         type="RSA" />
        </SSLHostConfig>
    </Connector>
修改成:
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" 
               keystoreFile="/www/wdlinux/my.keystore" keystorePass="changeit"
               >
        <!--<SSLHostConfig>
            <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
                         type="RSA" />
        </SSLHostConfig>-->
    </Connector>

tomcat8.0版本修改方式:

tomcat8.0的server.xml文件应该这样改动:

server.xml配置:
将
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
         maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
         clientAuth="false" sslProtocol="TLS" />
修改成:
<Connector  port="8443"
protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
clientAuth="true"
sslProtocol="TLS"
keystoreFile="/www/wdlinux/my.keystore"
keystorePass="changeit"
truststoreFile="/www/wdlinux/my.keystore"
truststorePass="changeit" />

属性说明:
clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证
keystoreFile:服务器证书文件路径
keystorePass:服务器证书密码
truststoreFile:用来验证客户端证书的根证书,此例中就是服务器证书
truststorePass:根证书密码
注意:
① 设置clientAuth属性为True时,需要手动导入客户端证书才能访问。
② 要访问https请求 需要访问8443端口,访问http请求则访问Tomcat默认端口(你自己设置的端口,默认8080)即可。

注:强制https访问

在 tomcat /conf/web.xml 中的 </welcome- file-list> 后面加上这
<login-config>    
<!-- Authorization setting for SSL -->    
<auth-method>CLIENT-CERT</auth-method>    
<realm-name>Client Cert Users-only Area</realm-name>    
</login-config>    
<security-constraint>    
<!-- Authorization setting for SSL -->    
<web-resource-collection >    
<web-resource-name >SSL</web-resource-name>    
<url-pattern>/*</url-pattern>    
</web-resource-collection>    
<user-data-constraint>    
<transport-guarantee>CONFIDENTIAL</transport-guarantee>    
</user-data-constraint>    
</security-constraint>

 

shardy1986
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java生成数字证书_JAVA JDK keytool 生成数字证书
weixin_32349699的博客
02-16 545
简介:数字证书作为网络安全数据传输的凭证,web在传输时客户端(浏览器)和 服务端(服务器)先进行会话握手,在握手过程中服务端会验证客户端的是否已经在服务端做了认证,这是单向认证。如果是双向认证的话,客户端云会校验请求的服务器是否是已认证的安全。当所有的验证通过后,客户端和服务端才会建立安全的连接。这个时候才能保证数据的传输是安全的。设计方案:服务器维护一个秘钥库server.jks 并重秘钥库中...
使用JDK自带keytool生成证书
热门推荐
kunlyy的专栏
07-10 1万+
Java keytool 的介绍 keytool 命令介绍 keytool 的使用
Java jdk使用keytool生成一个数字证书
sally_xiye的博客
07-29 239
生成命令如下 keytool -genkey -alias tomcathttps -keyalg RSA -keysize 2048 -keystore chang.keystore -validity 365 -genkey 表示要创建一个新的密钥 -alias 表示keystore (密钥)的别名 -keyalg 表示使用的算法是RSA算法,一种加密算法 -keysize 表示密钥的长度 -keystore 指定密钥的名称 -validity 制定密钥的有效时间,单位为天 在cmd窗口执行上述命
JDK中的keytool生成数字证书
qq_41092516的博客
05-14 223
1.打开cmd 2. 例如,输入keytool -genkey -alias tomcathttps -keyalg RSA -keysize 2048 -keystore sang.p12 -validity 365 3. 注:输入的密钥你看不见,但其实已经输完了 4.可以看到 ...
JDK生成证书
iechenyb专栏
07-21 2763
Jdk自带工具keytool生成受信任的证书
JDK 生成证书
weixin_45637293的博客
03-31 386
1.关于jdk 中 keyTool 的介绍: Keytool 是一个Java 数据证书的管理工具 ,Keytool 将密钥(key)和证书(certificates)存在一个称为keystore的文件中。 在keystore里,包含两种数据: (1)密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密) (2)可信任的证书实体(trusted c...
安卓证书生成jdk的软件
01-04
Keytool是JDK自带的一个安全工具,主要用于生成、存储和管理密钥对(公钥和私钥)以及数字证书。在Android开发中,我们需要用到这个工具生成一个keystore文件,它是用来签署Android应用程序的。 **2. 生成Android...
命令行keytool使用 证书DN生成数字证书容器 空格
05-01
`keytool`是Java Development Kit (JDK)自带的一个工具,用于管理密钥对(公钥和私钥)和证书,它可以帮助我们创建、存储和管理数字证书,确保数据传输的安全性。本篇文章将深入探讨`keytool`的使用,特别是如何通过...
KeyTool 工具生成X.509证书
08-06
KeyTool工具生成X.509证书是Java平台自带的一个命令行工具,它主要用于管理和操作密钥对(公钥和私钥)以及数字证书。在本文中,我们将深入探讨KeyTool的基本用法、X.509证书的概念,以及如何使用KeyTool生成这种...
CA.zip_certificates_openssl 证书_数字证书
09-24
本主题将深入探讨如何使用Keytool和OpenSSL这两个工具生成和签发数字证书。 首先,让我们了解什么是数字证书数字证书是一种电子文档,由受信任的证书颁发机构(CA)签发,它包含公钥的所有者信息以及公钥本身。...
JDK生成ssl证书
11-29
JDK自带工具生成ssl证书,经过上述操作,使用HTTPS 端口为8443 进行访问的时候 就是经过SSL信息加密,不怕被截获了。 通话的双方,必须是都拥有证书的端,才能进行会话,换句话说,就是只有安装了咱证书的客户端,才能与服务器通信。
JAVA 用代码生成数字证书源码
12-22
自己努力的一个java数字证书的源码,实现了自签名证书和颁发新的数字证书功能
KeyTool.GUI.1.6 证书密钥查看生成工具
09-01
KeyTool是Java Development Kit (JDK)自带的一个命令行工具,它主要用于创建、管理及导出数字证书和密钥对。这些证书用于验证服务器的身份,确保数据传输的安全性,比如在HTTPS协议中。 2. **证书与密钥** - **...
jdk自带keytool生成证书
ls_call520的专栏
04-28 567
1、进入jdk安装目录:cd C:\Program Files\Java\jdk1.8.0_291。
使用JDK生成HTTPS证书
最新发布
仰望星空,脚踏实地!安全感是自己给的,努力才是一辈子的安全感。
11-07 1361
首先我们需要有一个 https 证书,我们可以从各个云服务厂商处申请一个免费的,不过自己做实验没有必要这么麻烦,我们可以直接借助 Java 自带JDK 管理工具 keytool 来生成一个免费的 https 证书。进入到目录下,执行如下命令生成一个数字证书。# 指令解释genkey: 表示要创建一个新的密钥alias: 表示keystore的别名keyalg: 表示使用的加密算法是RSA,一种非对称加密算法keysize: 表示密钥的长度keystore: 表示生成的密钥存放位置。
JDK自带工具keytool生成ssl证书 和 HTTPS双向认证
weixin_34018202的博客
06-08 202
创建证书(第一步) keytool -genkey -alias "baidu" -keypass "123456" -keystore "D:/baidu.keystore" -storepass "123456" -keyalg "RSA" -keysize "1024" -validity "365" -alias 别名-keypass 别名密码-keystore 指定生成证...
使用jdk中的keytool工具生成一个数字证书
liyang1986hengda的博客
11-13 498
springboot中https的简单配置
java 数字证书 密钥库_jdk中密钥和证书管理工具keytool常用命令详解
weixin_30676635的博客
02-16 789
-genkey 在用户主目录中创建一个默认文件".keystore",还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书-alias 产生别名-keystore 指定密钥库的名称(产生的各类信息将不在.keystore文件中-keyalg 指定密钥的算法-validity 指定创建的证书有效期多少天-keysize 指定密钥长度...
使用jdk生成自签发证书(过程总结)
joe_le的博客
09-07 1815
前言: 最近在做华为NB-IoT接口开发,需要用到双向认证,就去学了一下。 然后我将过程总结了一下。   相关华为论坛链接:http://developer.huawei.com/ict/forum/thread-25457.html 里面一些ca.jks和outgoing.CertwithKey.pkcs12相关步骤能看懂就看,看不懂没关系。   一:为服务器生成证书 1. 找到...
JDK自带工具keytool生成ssl证书具体操作
05-05
可以按照以下步骤使用 keytool 工具生成自签名的 SSL 证书: 1. 打开命令行窗口,并导航到 JDK 的 bin 目录下。 2. 输入以下命令以生成 SSL 证书: ```bash keytool -genkey -alias mydomain -keyalg RSA -...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值