tomcat之HTTPS单向认证配置

最新推荐文章于 2023-04-08 12:32:08 发布
最新推荐文章于 2023-04-08 12:32:08 发布
阅读量98 收藏
点赞数
文章标签: tomcat https linux java 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_34206747/article/details/125444075
版权

tomcat运行模式

BIO

默认的模式,性能非常低下,没有经过任何优化处理和支持。 具体表现为
  • 一个线程处理一个请求。
  • 并发量高时,线程数较多,浪费资源。
  • Tomcat7或以下,在Linux系统中默认使用这种方式。

NIO

  • 利用java的异步io处理技术,no blocking IO技术,可以通过少量的线程处理大量的请求
  • Tomcat8在Linux系统中默认使用这种方式。
  • Tomcat7必须修改Connector配置来启动 
    <Connector port="8080" protocol="org.apache.coyote.http11.Http11NioProtocol"  connectionTimeout="20000" redirectPort="8443"/>

APR

  • Apache Portable Runtime,从操作系统层面解决io阻塞问题。
  • Tomcat7或Tomcat8在Win7或以上的系统中启动默认使用这种方式。
  • 必须要安装apr和native,直接启动就支持apr。

配置https单向认证

单向认证

  • 保证server是真的,通道是安全的(对称密钥);
  • client从server处拿到server的证书,通过公司的CA去验证该证书,以确认server是真实的;
  • 从server的证书中取出公钥,对client端产生的一个密钥加密(该密钥即对称密钥)。将加密后的密钥发送到server端。server端用其私钥解密出数据,即得到了对称密钥;
  • 以后的交易都是http+该对称密钥加密的方式来处理;

BIO单向认证

对于7.0以及以前的tomcat版本默认使用的是BIO模式,因此只需将配置文件(server.xml)中关于https配置的部分去掉注释如下,对于tomcat7以上的版本则将类似下述代码加入配置文件即可。 
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile=".keystore" keystorePass="password"/>
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile=".keystore" keystorePass="password"/>

NIO单向认证

Tomcat8在Linux系统中默认使用NIO模式 
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile=".keystore" keystorePass="password"/>
以上两种模式的配置中均用到了keystore文件,keystore文件可通过如下命令生成到用户目录下(仅供参考) 
keytool -genkey -alias tomcat -keyalg RSA -validity 36500
其中 ‘password’为生成证书时所填写的密码。

APR单向认证 

 <Connector protocol="org.apache.coyote.http11.Http11AprProtocol"
            port="8443" maxThreads="200"
            scheme="https" secure="true" SSLEnabled="true"
            SSLCertificateFile="/opt/tomcat/conf/ca.crt"
            SSLCertificateKeyFile="/opt/tomcat/conf/server.key"
            SSLVerifyClient="optional" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2"/>
其中pem文件的生成方式可参考如下: 
openssl genrsa -out server.key 1024  
openssl rsa -in server.key -out server.key  
openssl req -new -x509 -key server.key -out ca.crt -days 3650
此处为了兼容jdk1.6生成证书的时候指定了 1024 ,不然jdk1.6客户端应用请求服务的时候会出现以下异常信息 
Caused by: java.security.InvalidAlgorithmParameterException: Prime size must be multiple of 64, and can only range from 512 to 1024 (inclusive)
    at com.sun.crypto.provider.DHKeyPairGenerator.initialize(DashoA13*..)
    at java.security.KeyPairGenerator$Delegate.initialize(Unknown Source)
除此之外还需安装tomcat-native资源
windows安装native
下载tomcat-native ,将压缩包中的bin\x64\tcnative-1.dll放到tomcat bin目录下
linux安装native
  • apr安装(v1.5.2) 
    tar -xvf apr-1.5.2.tar.gz
cd apr-1.5.2
./configure --prefix=/usr/local/apr
make
make install
  • apr-util安装(v1.5.4) 
    tar -xvf apr-util-1.5.4.tar.gz
cd apr-util-1.5.4
./configure --prefix=/usr/local/apr-util --with-apr=/usr/local/apr
make
make install
  • openssl安装(1.0.2h) openssl要求预装 perl5.0 
    tar -xvf openssl-1.0.2h.tar.gz
cd openssl-1.0.2h
./config shared --prefix=/usr/local/ssl
make depend
make
make install
  • tomcat-native(1.2.7)安装 
    cd $CATALINA_HOME/bin
tar -xvf tomcat-native.tar.gz
cd tomcat-native-1.2.7-src/native
./configure --with-apr=/usr/local/apr --with-ssl=/usr/local/ssl
make
make install
    该处需要注意 --with-apr 以及 --with-ssl 的指定,如果未配置JAVA_HOME,此处应指定 --with-java-home 参数
    启动tomcat即可

总结

本文中所提到的几种模式配置单向认证https服务,对于1.7以及以上版本jdk应用作为客户端调用的时候都没有任何问题。 然而jdk1.6客户端应用对于默认禁用了SSLv3协议的tomcat7.0.57以及以上版本所发布的https(BIO & NIO)服务却无法请求服务 。因此经过实践可通过配置APR模式进行兼容。当然,不排除还有其他方案解决此类问题。

参考资料

不爱运动的跑者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Tomcat配置https单向加密
01-11
说明tomcat如何配置https单向加密,如何使用jdk提供的keytool建立服务器证书
jdk1.6解决SSLException连接外部接口异常问题
Java_LXM的博客
03-01 923
javax.net.ssl.SSLException: java.lang.RuntimeException: Could not generate DH keypair
Tomcat配置HTTPS单向认证
m0_37346206的博客
04-08 428
客户端认证,true:双向认证,会请求客户端证书,对客户端进 行认证;false:单向认证,准备文件:server.jks servertrust.jks。HTTPS访问的端口,配置完成后,你的应用HTTPS访问地址为。信任的证书库文件,填写servertrust.jks 的路径。是否使用SSL,默认,true,HTTPS必须为true。证书库文件,填写server.jks的路径。信任的证书库文件的密码,制作证书时填写的。参考上一篇公众生成这两个文件。证书库密码,制作证书时填写的。
tomcat配置https单向认证笔记
没事看看书
01-20 7659
tomcat使用https是为了保证隐私数据能够加密传输,不被别人截取破解传输信息。 https认证过程涉及到对称加密与非对称加密,多次握手,相对于http协议是比较费时的。
【SSL】Tomcat8.5 SSL/HTTPS 安装证书 单向认证
sayyy的专栏
06-12 1233
准备 1、为localhost生成证书库。生成证书参考这里 证书库名称:localhost.jks 证书库格式:JKS 证书库密码:localhost 证书别名:localhost 2、tomcat 8.5.24 3、JDK 1.8 步骤 1、将localhost.jks证书库放到tomcat的conf文件夹中。 2、修改to...
Tomcat配置HTTPS证书认证
05-20
Tocmat下的HTTPS认证,折腾了一天了,终于弄成了,记录下!
详解用Tomcat服务器配置https双向认证过程实战
09-30
本篇文章主要介绍了详解用Tomcat服务器配置https双向认证过程实战,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
tomcat配置https双向认证
03-30
tomcat配置https双向认证文档
tomcat配置https的方法示例
09-30
主要介绍了tomcat配置https的方法示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Tomcat SSL配置Tomcat CA证书安装
cuker919的专栏
05-24 1292
最近要做一个SSL的应用,用SSL进行双向身份验证意思就是在客户机连接服务器时,链接双方都要对彼此的数字证书进行验证,保证这是经过授权的才能够连接。我们链接一般的SSL时采用的是单向验证,客户机只验证服务器的证书,服务器不验证客户机的证书;而连接网上银行时使用的U盾就是用来存储进行双向验证所需要的客户端证书的。 Tomcat既可以作为独立的Servlet容器,也可以作为其他HTTP服务器附加...
https单向/双向认证tomcat配置https方法
jackpk的专栏
06-03 3216
 https单向/双向认证tomcat配置https方法 URL:http://itindex.net/detail/49585-https-%E8%AE%A4%E8%AF%81-tomcat 发表时间:2014-05-14 14:38 | 作者:liuxiaoling https单向/双向认证tomcat配置https方法 tomcat6配置: 1.单向认证,就
https单向认证tomcat配置https方法
lychao89的专栏
06-16 2327
tomcat的bin目录或jdk的bin目录下面执行: 第一步:为服务器生成证书 keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650 -keystore E:\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass 123456 -k
配置Tomcat使用https协议(单向认证
weixin_33872660的博客
11-14 97
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。 为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超...
JDK 8 配置tomcat https 单向认证
u011186019的专栏
06-25 423
环境window 7 , JDK 1.8 , tomcat 8.0.x1、生成根证书颁发机构的密钥库keytool -genkeypair -v -keystore root.p12 -storetype pkcs12 -storepass 123456 -alias 我是根证书 -keyalg RSA -keysize 2048 -validity 365002、生成服务器密钥库keytool ...
java.security.InvalidAlgorithmParameterException原因及其处理方式
热门推荐
qq_33382113的博客
11-27 4万+
一、异常如下  javax.net .ssl.SSLException: java.lang.RuntimeException: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty at sun.security.ssl.
Tomcat配置SSL(单向认证)
QQ562044177的专栏
04-21 1907
注:本文只说明单向认证,这里设置为false单向认证:客户端向服务器发送消息,服务器接到消息后,用服务器端的密钥库中的私钥对数据进行加密,然后把加密后的数据和服务器端的公钥一起发送到 客户端,客户端用服务器发送来的公钥对数据解密,然后在用传到客户端的服务器公钥对数据加密传给服务器端,服务器用私钥对数据进行解密,这就完成了客户端 和服务器之间通信的安全问题,但是单向认证没有验证客户端的合法性。
tomcat配置https单向认证)+如何使用java请求
Jason丶宇的博客
09-07 1964
一.  创建tomcat证书   这里使用JDK自带的keytool工具来生成证书:   1. 在jdk的安装目录\bin\keytool.exe下打开keytool.exe     2. 在命令行中输入以下命令: keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "g:\tomcat.keystore" ...
LinuxTomcat6配置HTTPS单向认证
事后诸葛亮的程序人生(微信:zq9017197)
10-25 1183
### tomcat6配置:  - 1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源  - 2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址  - 如果只是加密,单向就行;如果想要用系统的人没有证书就访问不了系统的话,就采用双向  - http默认使用的是8080端口,如果URL里面端口号也懒得输,就改为80. - https默认使用的是
Tomcat配置https
最新发布
12-21
以下是配置Tomcat使用HTTPS的步骤: 1. 生成自签名证书: ```shell keytool -genkey -v -alias testKey -keyalg RSA -validity 3650 -keystore /tomcat/tomcat/test.keystore ``` 2. 配置Tomcat的server.xml文件:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不爱运动的跑者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值