Tomcat配置https详述

最新推荐文章于 2022-04-27 12:56:57 发布
最新推荐文章于 2022-04-27 12:56:57 发布
阅读量173 收藏
点赞数
分类专栏: Java 文章标签: Tomcat Https

这两天研究了下Tomcat如何配置https,实现以https的方式访问我们的web service,下面就如何配置Tomcat以及在访问过程中出现的问题做个简单的总结。

 

首先说明下,我使用的Tomcat的版本是Version 7.0.22。

我们先找到Tomcat的官方参考文档中如何配置SSL:http://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html,里面介绍了如何配置SSL的步骤,总得来说,首先生成keystore文件,步骤如下:

1.在windows命令行下输入

写道
%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA

2. 接下来提示输入密码,可以使用Tomcat的默认值changeit,然后按照提示输入相关信息后确认,这里的别名tomcat可以自己定义,一般情况下,上面生成的.keystore文件会在你的${user.home}目录下。

 

然后,找到Tomcat下的server.xml文件,找到

<-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
<!--
<Connector
           port="8443" maxThreads="200"
           scheme="https" secure="true" SSLEnabled="true"
           clientAuth="false" sslProtocol="TLS"/>
-->

 把打开注释,加上两个属性

keystoreFile="${user.home}/.keystore" keystorePass="changeit"

其中,keystoreFile是生成的服务证书的位置,keystorePass是密码,如果你没输入密码,默认的是changeit。代码如下:

写道
<!-- Define a SSL HTTP/1.1 Connector on port 8443 -->
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
maxThreads="200" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="E:/apache-tomcat-7.0.22/.keystore"
keystorePass="123456"/>

 到这里,我们的Tomcat部分就以配置完成了,当我把我的服务部署到Tomcat下面时,出现了下面的错误:

写道
send file exception:sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

 我们要想成功访问我们的web service还需下面的步骤。

上面的错误告诉我们没有找到验证路径,所以还要生成一个验证证书,我们只需要用下面的代码来帮助我们生成:

public class InstallCert {

    public static void main(String[] args) throws Exception {
        String host;
        int port;
        char[] passphrase;
        if ((args.length == 1) || (args.length == 2)) {
            String[] c = args[0].split(":");
            host = c[0];
            port = (c.length == 1) ? 443 : Integer.parseInt(c[1]);
            String p = (args.length == 1) ? "changeit" : args[1];
            passphrase = p.toCharArray();
        } else {
            System.out.println("Usage: java InstallCert <host>[:port] [passphrase]");
            return;
        }

        File file = new File("jssecacerts");
        if (file.isFile() == false) {
            char SEP = File.separatorChar;
            File dir = new File(System.getProperty("java.home") + SEP + "lib" + SEP + "security");
            file = new File(dir, "jssecacerts");
            if (file.isFile() == false) {
                file = new File(dir, "cacerts");
            }
        }
        System.out.println("Loading KeyStore " + file + "...");
        InputStream in = new FileInputStream(file);
        KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
        ks.load(in, passphrase);
        in.close();

        SSLContext context = SSLContext.getInstance("TLS");
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory
                .getDefaultAlgorithm());
        tmf.init(ks);
        X509TrustManager defaultTrustManager = (X509TrustManager) tmf.getTrustManagers()[0];
        SavingTrustManager tm = new SavingTrustManager(defaultTrustManager);
        context.init(null, new TrustManager[] { tm }, null);
        SSLSocketFactory factory = context.getSocketFactory();

        System.out.println("Opening connection to " + host + ":" + port + "...");
        SSLSocket socket = (SSLSocket) factory.createSocket(host, port);
        socket.setSoTimeout(10000);
        try {
            System.out.println("Starting SSL handshake...");
            socket.startHandshake();
            socket.close();
            System.out.println();
            System.out.println("No errors, certificate is already trusted");
        } catch (SSLException e) {
            System.out.println();
            e.printStackTrace(System.out);
        }

        X509Certificate[] chain = tm.chain;
        if (chain == null) {
            System.out.println("Could not obtain server certificate chain");
            return;
        }

        BufferedReader reader = new BufferedReader(new InputStreamReader(System.in));

        System.out.println();
        System.out.println("Server sent " + chain.length + " certificate(s):");
        System.out.println();
        MessageDigest sha1 = MessageDigest.getInstance("SHA1");
        MessageDigest md5 = MessageDigest.getInstance("MD5");
        for (int i = 0; i < chain.length; i++) {
            X509Certificate cert = chain[i];
            System.out.println(" " + (i + 1) + " Subject " + cert.getSubjectDN());
            System.out.println("   Issuer  " + cert.getIssuerDN());
            sha1.update(cert.getEncoded());
            System.out.println("   sha1    " + toHexString(sha1.digest()));
            md5.update(cert.getEncoded());
            System.out.println("   md5     " + toHexString(md5.digest()));
            System.out.println();
        }

        System.out.println("Enter certificate to add to trusted keystore or 'q' to quit: [1]");
        String line = reader.readLine().trim();
        int k;
        try {
            k = (line.length() == 0) ? 0 : Integer.parseInt(line) - 1;
        } catch (NumberFormatException e) {
            System.out.println("KeyStore not changed");
            return;
        }

        X509Certificate cert = chain[k];
        String alias = host + "-" + (k + 1);
        ks.setCertificateEntry(alias, cert);

        OutputStream out = new FileOutputStream("jssecacerts");
        ks.store(out, passphrase);
        out.close();

        System.out.println();
        System.out.println(cert);
        System.out.println();
        System.out.println("Added certificate to keystore 'jssecacerts' using alias '" + alias
                + "'");
    }

    private static final char[] HEXDIGITS = "0123456789abcdef".toCharArray();

    private static String toHexString(byte[] bytes) {
        StringBuilder sb = new StringBuilder(bytes.length * 3);
        for (int b : bytes) {
            b &= 0xff;
            sb.append(HEXDIGITS[b >> 4]);
            sb.append(HEXDIGITS[b & 15]);
            sb.append(' ');
        }
        return sb.toString();
    }

    private static class SavingTrustManager implements X509TrustManager {

        private final X509TrustManager tm;

        private X509Certificate[] chain;

        SavingTrustManager(X509TrustManager tm) {
            this.tm = tm;
        }

        public X509Certificate[] getAcceptedIssuers() {
            throw new UnsupportedOperationException();
        }

        public void checkClientTrusted(X509Certificate[] chain, String authType)
                throws CertificateException {
            throw new UnsupportedOperationException();
        }

        public void checkServerTrusted(X509Certificate[] chain, String authType)
                throws CertificateException {
            this.chain = chain;
            tm.checkServerTrusted(chain, authType);
        }
    }

}

 然后,运行这个程序,运行程序时,需要输入参数,在Run Configure的Argument输入localhost:8443,Run,显示以下信息:

写道
Loading KeyStore C:\Program Files\Java\jdk1.6.0_10\jre\lib\security\cacerts...
Opening connection to localhost:8443...
Starting SSL handshake...

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Alerts.java:174)
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1591)
at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Handshaker.java:187)
at com.sun.net.ssl.internal.ssl.Handshaker.fatalSE(Handshaker.java:181)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1035)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:124)
at com.sun.net.ssl.internal.ssl.Handshaker.processLoop(Handshaker.java:516)
at com.sun.net.ssl.internal.ssl.Handshaker.process_record(Handshaker.java:454)
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:884)
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1096)
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1123)
at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1107)
at com.neusoft.mega.client.InstallCert.main(InstallCert.java:85)
Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:285)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:191)
at sun.security.validator.Validator.validate(Validator.java:218)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:126)
at com.sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:209)
at com.neusoft.mega.client.InstallCert$SavingTrustManager.checkServerTrusted(InstallCert.java:178)
at com.sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1027)
... 8 more
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:174)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:238)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:280)
... 14 more

Server sent 1 certificate(s):

1 Subject CN=localhost, OU=It, O=It, L=CH, ST=CH, C=86
Issuer CN=localhost, OU=It, O=It, L=CH, ST=CH, C=86
sha1 e4 88 87 2f 9f 22 08 14 3a b7 85 62 99 0a 11 92 2c 8b 08 5c
md5 5f d5 f1 6c d4 28 fc 8e 56 88 45 fa 27 67 18 eb

Enter certificate to add to trusted keystore or 'q' to quit: [1]

 在console下输入1,会输出一堆信息,最后出现一句:Added certificate to keystore 'jssecacerts' using alias 'localhost-1',说明我们的验证文件就生成了,这个文件会在我们的

%JAVA_HOME%/jre6/lib/security

下,文件名为jssecacerts。

到此为止,我们就可以正常通过https访问我们的web service了。

注意:

我开始第一次访问时,出现了:java.security.cert.CertificateException: No name matching localhost found错误,这个错误是说我们指定资源证书的CN与资源访问地址不匹配,在我们生成ketstore文件时,我们在输入您的名字和姓氏的名称与我们自愿的地址不一致。

写道
Microsoft Windows XP [版本 5.1.2600]
(C) 版权所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\user>keytool -genkey -alias tomcat -keyalg RSA
输入keystore密码:

您的名字与姓氏是什么?
[Unknown]:
localhost
 

比如说,而偶们的访问地址是https://localhost:8443/tomcat,那么我们资源证书的CN也为localhost。

 

 

 

大工小匠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcat配置https协议详细步骤
轮回の稻草人
08-25 505
1.介绍了密码学的相关基础知识后,本文介绍如何在tomcat上搭建https服务。  环境:jdk7,tomcat7,windows7 2.我们使用java中自带的javatool工具来制作所需的https所需的证书,keytool是java自带的用于密钥和证书的生成和管理工具。 3.这里先介绍两个文件格式:  jks(java key store),用来存储密钥已经数字证书的文件  ...
Tomcat配置https
JasonGxz的专栏
08-08 316
tomcat配置https有两个步骤: 1、制作证书,打开cmd,按如下操作       2、修改tomcat配置:       a、打开tomcat配置文件:  tomcat目录的\conf\server.xml       b、找到【                                           maxThreads="150" scheme="htt
Tomcat启动Alias name [null] does not identify a key entry报错分析,涉及从公钥(CER)+私钥(KEY)转换为jks证书的方法
daizuojian
04-07 4477
先说原因是什么,之前百度,谷歌,CSDN上也搜过,搜到最多的答案是server.xml中缺少指定keyAlias=xxx,但是试了以后会发现还是报这个错,只是报错由Alias name [null] does not identify a key entry变成了Alias name [xxx] does not identify a key entry。后来从公司内网看到一个帖子才知道,原来是因为我使用keytool生成的证书有问题,里面只存在公钥,而没有私钥。 我是直接使用下面命令直接将cer证书转为j
Tomcat创建SSL
备注学院
02-07 2555
 C:/Documents and Settings/masterQi>keytool -genkey -alias tomcat -keyalg RSA -keystore tomcat.keystore输入keystore密码:  000000您的名字与姓氏是什么?  [Unknown]:  localhost您的组织单位名称是什么?  [Unknown]:  mq您的组织名称是什么? 
Tomcat常用配置及问题
qq_40294969的博客
04-28 341
作为一名菜鸟,首次接触Tomcat服务器,为了更好的学习,特地将学习配置配置中遇到的问题记录下来 1.环境搭建 JDK环境配置(这里主要将Tomcat,JDK配置就略过了) 下载Tomcat服务器,免费开源软件(下载地址:http://tomcat.apache.org),这里下载以window 64位 tomcat9 解压版为例。安装版直接安装即可 环境变量新建:(解压位置) ...
linux tomcat配置https的方法
09-15
主要介绍了linux tomcat配置https的方法,需要的朋友可以参考下
tomcat配置https的方法示例
09-30
主要介绍了tomcat配置https的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
tomcat 配置https
03-22
tomcat 配置https 详情, tomcat 配置http 强制跳转到https
tomcat配置https
05-24
tomcat配置https
Tomcat错误“Alias name tomcat does not identify a key entry”解决
隔壁老王的博客
07-05 9758
  申请到了阿里云的证书后,下载、按照说明生成jks格式证书、证书放到%TOMCAT_HOME%/cert目录中,配置server.xml文件。启动,结果报了“Alias name tomcat does not identify a key entry”错误。   看错误信息,是没有找到别名为tomcat的条目。解决办法是找到证书中的别名,告诉tomcat。使用如下命令:   keyt...
Tomcat 申请证书配置https
lilongwangyamin的博客
08-31 389
1 我有腾讯云域名 所以申请的是腾讯云免费证书 网址 https://console.cloud.tencent.com/ssl 申请证书 我使用的随机密码 2 配置Tomcat <?xml version="1.0" encoding="UTF-8"?> <!-- Licensed to the Apache Software Foundation (ASF) under one or more contributor license agreements. Se
Tomcat安装CA证书(详细过程篇)
科华在线
11-22 1132
Tomcat安装CA证书(详细过程篇)  作者:yellowtop Email: yellowtop@163.com 日期:2004-11-26 以Verisign 测试证书为例 1.创建一个本地证书: C:\j2sdk1.4.2_05\bin>keytool -genkey -alias tomcat -keyalg RSA -keystore keystore 输入ke
tomcat移动位置后相关问题解决方案
panjie510的专栏
04-28 7720
问题1:启动tomcat时候报错:The archive: E:/eclipse/tomcat/apache-tomcat-6.0.35/bin/bootstrap.jar which is referenced by the classpath, does not exist. 解决方法:双击下方窗口中的Servers中的下面的 Tomcat v6.0 Server at  localhost
tomcat 配置别名alias
m0_67403188的博客
04-27 600
server.xml --> 节点内部配置
tomcat配置技巧
08-23 1112
1. 配置系统管理(Admin Web Application) 大多数商业化的J2EE服务器都提供一个功能强大的管理界面,且大都采用易于理解的Web应用界面。Tomcat按照自己的方式,同样提供一个成熟的管理工具,并且丝毫不逊于那些商业化的竞争对手。Tomcat的Admin Web Application最初在4.1版本时出现,当时的功能包括管理context、data source、user和
TOMCAT SSL配置
林伟的专栏
06-13 200
1.  run from command : %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA  note:  The default password used by Tomcat is "changeit" 2. if successful , create a new file named ".keystore" unde
配置Tomcat服务器支持HTTPS
鑫的专栏
06-11 776
1.        生成证书 首先用jdk自带的工具keytool生成一个"服务器证书"。 C:/Program Files/Java/jre1.5.0_04/bin> keytool -genkey  -alias safetomcat  -keyalg RSA  -keystore c:/leadsec -validity 2000 输入keystore密码:  leadsec 您的名
Tomcat应用访问SSL或https失败的解决办法
weixin_30411819的博客
08-20 1898
一,首先,解决unable to find valid certification path to requested target的问题。 其实就是要生成证书, 让tomcat读取证书 import java.io.BufferedReader; import java.io.File; import java.io.FileInputStream; import jav...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值