keytool生成证书与Tomcat SSL配置

最新推荐文章于 2021-02-26 09:19:06 发布
最新推荐文章于 2021-02-26 09:19:06 发布
阅读量90 收藏
点赞数
分类专栏: tomcat/weblogic/jetty 文章标签: java web.xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tsunzhang/article/details/84803096
版权

一、Keytool介绍

Keytool是一个Java数据证书的管理工具。Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里,包含两种数据:

1.   密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)

2.   可信任的证书实体(trusted certificate entries)——只包含公钥

Alias(别名):每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写

keystore的存储位置

在没有制定生成位置的情况下,keystore会存在与用户的系统默认目录, 如:对于window xp系统,会生成在系统的C:/Documents and Settings/UserName/ 文件名为“.keystore”

keystore的生成:keytool -genkey -alias tomcat -keyalg RSA   -keystore d:/mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 36500

参数说明:

-genkey表示要创建一个新的密钥
-dname表示密钥的Distinguished Names,
CN=commonName
OU=organizationUnit
O=organizationName
L=localityName
S=stateName
C=country
Distinguished Names表明了密钥的发行者身份
-keyalg使用加密的算法,这里是RSA
-alias密钥的别名
-keypass私有密钥的密码,这里设置为changeit
-keystore 密钥保存在D:盘目录下的mykeystore文件中
-storepass 存取密码,这里设置为changeit,这个密码提供系统从mykeystore文件中将信息取出
-validity该密钥的有效期为 36500表示100年 (默认为90天)

cacerts证书文件(The cacerts Certificates File)

改证书文件存在于java.home/lib/security目录下,是Java系统的CA证书仓库

二、准备工作

1.   验证是否已创建过同名的证书

Window : keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit

Linux : keytool -list -v -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit

2.   删除已创建的证书

Window : keytool -delete -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit

Linux : keytool -delete -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit

三、创建证书

1.   服务器中生成证书:

(注:生成证书时,CN要和服务器的域名相同,如果在本地测试,则使用localhost)

Window : keytool -genkey -alias tomcat -keyalg RSA -keystore d:/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit

Linux : keytool -genkey -alias tomcat -keyalg RSA -keystore ~/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit

2.   导出证书,由客户端安装:

window : keytool -export -alias tomcat -keystore d:/my.keystore -file d:/mycerts.cer -storepass changeit

Linux : keytool -export -alias tomcat -keystore ~/my.keystore -file ~/mycerts.cer -storepass changeit

3.   客户端配置:为客户端的JVM导入密钥(将服务器下发的证书导入到JVM中)

window : keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -file d:/mycerts.cer -storepass changeit

Linux : keytool -import -trustcacerts -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -file ~/mycerts.cer -storepass changeit

四、配置Tomcat SSL

修改server.xml中的SSL服务
Window :
<Connector port="8443" maxHttpHeaderSize="8192"
     maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
     enableLookups="false" disableUploadTimeout="true"
     acceptCount="100" scheme="https" secure="true"
     clientAuth="false" sslProtocol="TLS" keystoreFile="d:/my.keystore" keystorePass="changeit"/>

Linux:
<Connector port="8443" maxHttpHeaderSize="8192"
     maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
     enableLookups="false" disableUploadTimeout="true"
     acceptCount="100" scheme="https" secure="true"
     clientAuth="false" sslProtocol="TLS" keystoreFile="~/my.keystore" keystorePass="changeit"/>

五、常见问题

1.   未找到可信任的证书

主要原因为在客户端未将服务器下发的证书导入到JVM中,可以用

keytool -list -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit

来查看证书是否真的导入到JVM中。

2.   keytool错误:java.io.IOException:keystore was tampered with,or password was incorrect

原因是在你的home目录下是否还有.keystore存在。如果存在那么把他删除掉,后再执行

或者删除"%JAVA_HOME%/jre/lib/security/cacerts 再执行

建议直接删掉cacerts再导入

Tomcat配置https及访问http自动跳转至https
完成上述操作就可以通过https://www.xxx.com:8443 或者 http://www.xxx.com:[port]访问网站;
第二步:配置Tomcat
  打开$CATALINA_HOME/conf/server.xml,修改如下:

  <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />
修改参数=>
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000"  redirectPort="443" />


<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
              maxThreads="150" scheme="https" secure="true"
              clientAuth="false" sslProtocol="TLS"/>
-->
去掉注释且修改参数=>
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat.keystore" keystorePass="changeit"/>


<!--
   <Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" />
-->
修改参数=>
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" />

第三步:配置tomcat的web.xml在该文件末尾增加:强制https访问
及输入http:// 自动跳转https://
配置如下:
<login-config>
     <!-- Authorization setting for SSL -->
     <auth-method>CLIENT-CERT</auth-method>
     <realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
     <!-- Authorization setting for SSL -->
     <web-resource-collection >
     <web-resource-name >SSL</web-resource-name>
     <url-pattern>/*</url-pattern>
     </web-resource-collection>
     <user-data-constraint>
     <transport-guarantee>CONFIDENTIAL</transport-guarantee>
     </user-data-constraint>
</security-constraint>

tsunzhang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat生成keystore证书
java的涟漪
07-20 1万+
在当前目录下证书库server.keystore中生成一个证书tomcatsso 密码changeit首先要进入“C:/Program Files/Java/jdk1.6.0_02/jre/lib/security”;其中C:/Program Files/Java/jdk1.6.0_02为jdk的安装路径;keytool -genkey -keyalg RSA -alias tomcatsso -dname "cn=localhost" -keystore server.keystore -storepas
linux下keytool生成证书_keytool生成证书Tomcat SSL配置
weixin_36087674的博客
01-15 603
一、Keytool介绍Keytool是一个Java数据证书的管理工具。Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里,包含两种数据:1. 密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)2. 可信任的证书实体(trusted certificate entrie...
解决Keystore was tampered with, or password was incorrect
aoe41606的博客
07-01 986
使用签名文件keystore查看生成的数字签名中报错解决 Keystore was tampered with, or password was incorrect 这是由于android规定自己定义签名文件必需要跟默认的签名文件的名字一样才算正确。。。 在签名的时候不要使用 窗体->首选项->android->build。 建议使用命令行方式 ...
keytool错误:java.lang.Exception 没有创建键值对,别名<czbk>已经存在
flowerAndJava的博客
11-22 1855
生成keystore证书,在输入一遍完成,找不到生成文件。再次输入命令,报如下错: keytool错误 java.lang.Exception 没有创建键值对,别名已经存在
java keytool tomcat_keytool生成证书Tomcat SSL配置
weixin_39886841的博客
02-26 206
一、Keytool介绍Keytool是一个Java数据证书的管理工具。Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里,包含两种数据:1. 密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密)2. 可信任的证书实体(trusted certificate entrie...
keytool 生成SSL证书,配置Tomcat证书
我的博客
07-01 656
keytool 生成SSL证书,配置Tomcat证书 一、为服务器生成证书 1、利用keytool工具 命令行输入:keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500 需要提前配置JDK环境变量,或者直接前往JDK bin目录下执行 注释:D:\home\to...
keytool 生成证书配置tomcat ssl双向认证
tangside163的专栏
03-22 713
借鉴了网上同学的资料,自己实践出来的 1、生成服务器证书keytool -validity 365 -genkey -v -alias server -keyalg RSA -keystore d:/server.keystore -storepass 123456 -keypass 123456 2、生成客户端证书keytool -validity
keytool--生成证书Tomcat SSL配置
szzt_lingpeng的专栏
04-26 5902
转载自:http://my.oschina.net/cimu/blog/314023?fromerr=acPUSUMV 摘要 Keytool是一个Java数据证书的管理工具。Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里 目录 一、Keytool介绍  二、准备工作  1.
keytool生成证书,双向SSL认证配置的方法
12-01
keytool生成证书,双向SSL认证配置的方法,以Tomcat举例。包含步骤:一、为服务器生成证书;二、为客户端生成证书;三、让服务器信任客户端证书;四、让客户端信任服务器证书
Tomcat配置SSL证书的方法
09-30
通常情况下,企业会从证书颁发机构(CA)购买证书,但也可以自行生成证书。对于测试或开发环境,我们可以使用Java自带的keytool工具生成自签名的证书生成秘钥文件的步骤如下: 1. 进入JDK的bin目录,例如:C:\...
详解如何给Tomcat配置Https/ssl证书
09-30
1. 使用keytool生成Keystore和自签名证书。 2. 将Keystore文件放入Tomcat的“conf”目录。 3. 修改“server.xml”配置文件,启用HTTPS连接器并指定Keystore信息。 4. 重启Tomcat并测试HTTPS连接。 请注意,虽然自...
Tomcat 开启基于https的SSL配置
05-28
keystoreFile="你的 keystore 路径" keystorePass="生成证书时的口令" /> ``` 其中: * port:HTTPS 的端口,默认 8443 * clientAuth:设置是否双向验证,默认为 false,设置为 true 代表双向验证 * keystoreFile...
Tomcat SSL 配置
03-16
Tomcat SSL 配置 本文档介绍了 Tomcat SSL 配置的详细步骤,包括准备工作、配置过程和验证配置等。通过本文档,可以成功配置 TomcatSSL 功能,实现 HTTPS 协议的支持。 一、准备工作 为了配置 TomcatSSL ...
Tomcat配置SSL指导
11-16
### Tomcat配置SSL详解 #### 一、引言 随着互联网技术的发展,数据安全成为企业和个人用户关注的重点。为了确保Web应用的数据传输安全,越来越多的应用采用HTTPS协议来替代传统的HTTP协议。而要实现这一目标,就...
SSL配置手册-tomcat
10-29
这一过程包括了根证书、服务器证书和客户端证书生成配置。双向SSL认证能显著提高系统的安全性,确保数据传输过程中的保密性和完整性,适用于对安全性要求较高的应用场景,例如金融交易系统、敏感数据处理平台等...
openSSL制作证书并在tomcat配置
05-21
生成证书文件,我们需要使用openSSL提供的命令和工具。下面是生成服务器端证书文件的步骤: 1. 生成服务器端的私钥key文件):`openssl genrsa -des3 -out server.key 1024` 2. 生成服务器端证书签名请求文件...
tomcat6.0.6进行ssl配置
06-12
在本文中,我们将详细介绍 Tomcat 6.0.6 的 SSL 配置步骤,包括生成密钥、导入证书配置 server.xml 文件等。 首先,我们需要生成密钥。我们可以使用 Keytool 工具来生成密钥。KeytoolJava Development Kit ...
tomcatssl证书生成
最新发布
01-04
以下是使用自动生成的JKS格式证书配置Tomcat的过程: 1. 确保你已经安装了Java JDK和Tomcat,并且已经设置好了环境变量。 2. 打开终端或命令行,输入以下命令来生成JKS格式证书: ```shell keytool -genkey -v -...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值