tomcat8配置https,实现单双向SSL

最新推荐文章于 2024-08-28 13:17:54 发布
最新推荐文章于 2024-08-28 13:17:54 发布
阅读量7.3k 收藏 11
点赞数 2
分类专栏: 学习研究 文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010096403/article/details/81027835
版权


花了两三天终于搞完,中间有个环节卡了一天,不然一天就能搞定了。具体https、ssl是啥,我就不说了哈,不懂的先去百度。

废话不多说,下面开始正题。

使用tomcat8+jdk8。

一、单向

1、生成服务器证书库,及秘钥,keytool是jdk自带的,也可以使用openssl。

keytool-genkey -v -alias mykeystore -keyalg RSA -keystore server.keystore  -validity 36500


2、查看证书库keytool -list -v -keystore server.keystore


3、导出公钥证书,用于浏览器安装

     keytool -export -alias mykeystore -keystore server.keystore -rfc -file client.cer,名称什么的怕弄混,自己看着改吧。

 

生成之后点击安装,直接按照默认的就行了,正常都没问题,不放心可以再多安装几个目录。这个证书也可以不安装,不安装你就需要在浏览器上面点击信任继续访问什么的,就跟之前12306的那个网站的呢。

4、配置tomcat

<ConnectorSSLEnabled="true" acceptCount="100"clientAuth="false"

disableUploadTimeout="true"enableLookups="false"maxThreads="25"

  port="8443"keystoreFile="/etc/starry/starryThc/server.keystore"  keystorePass="123456"

   protocol="org.apache.coyote.http11.Http11NioProtocol"  scheme="https"

secure="true"sslProtocol="TLS" />

访问:

 

至此,单向ssl实际上已经完成了。https上面有个红色的叉叉,说明浏览器不信任这个服务器的证书。
这个叉叉的原因是证书的CN,没有与主机名(公网时使用域名)保持一致,因为我使用的是本机装的虚拟机,没有配置域名,我服务器的这个CN配置的是YU,所以我在本地hosts中配置了
192.168.10.244 YU,大小写貌似没区别。

再访问,变成绿色的了

 

通过上面两张截图可以看出,在使用hosts配置局域网的这个主机名之后,浏览器认为他是安全的了。

好了,单向的SSL,浏览器端已经没有问题了,现在来写java后台实现访问。

5、java后台访问 

     不带证书的post

 


  sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 

 

提示没有证书
 

跟我后台访问百度是一个样子。没有证书。
 

 

这个错误的原因是,jdk的证书信任库中没有该证书,为什么后台访问淘宝的没问题,就是因为淘宝使用的是CA的证书,而百度使用的是verisign家签名的证书,这个证书在浏览器中的是有的,但是在我们的jdk中是没有的,所以在浏览器没有问题,后台进行访问有问题。
下图为百度在浏览器中的证书。 


 

解决这个问题,有两个办法:1代码中带上公钥证书,2将公钥证书导入到jdk的信任库中。
 

1、编写代码,代码中带入服务器公钥证书
 

 

  KeyStore trustKeyStore=KeyStore.getInstance("JKS");
  trustKeyStore.load(new FileInputStream(trustStorePath), trustStorePassword.toCharArray());
  trustManagerFactory.init(trustKeyStore);
  TrustManager[]  trustManagers= trustManagerFactory.getTrustManagers();
            
获取公钥证书。 

 

 

public String doPostsWithOwnCer(String url,String params,String type,String charset) {
        PrintWriter out = null;
        InputStream in = null;
        String result = null;
        try
        {
            String trustStorePath = "C:\\Users\\Administrator\\Desktop\\学习记录\\keytool\\2018-07-09双向重新配置\\truststore.keystore";
            String trustStorePassword = "123456";
            // 创建SSLContext对象,并使用我们指定的信任管理器初始化
            TrustManagerFactory trustManagerFactory=TrustManagerFactory.getInstance("SunX509");
            KeyStore trustKeyStore=KeyStore.getInstance("JKS");
            trustKeyStore.load(new FileInputStream(trustStorePath), trustStorePassword.toCharArray());
            trustManagerFactory.init(trustKeyStore);
            TrustManager[]  trustManagers= trustManagerFactory.getTrustManagers();
            SSLContext sslContext = SSLContext.getInstance("SSL", "SunJSSE");
            sslContext.init(null, trustManagers, new java.security.SecureRandom());
            // 从上述SSLContext对象中得到SSLSocketFactory对象
            SSLSocketFactory ssf = sslContext.getSocketFactory();
            URL uri = new URL(url);
            HttpsURLConnection urlcon = (HttpsURLConnection) uri.openConnection();
            urlcon.setDoInput(true);
            urlcon.setDoOutput(true);
            urlcon.setSSLSocketFactory(ssf);
            urlcon.setRequestMethod(type.toUpperCase());
            urlcon.connect();
            out = new PrintWriter(urlcon.getOutputStream());
//            out.print(params);
            out.write(params);//相比print,write更直观一点
            out.flush();//数据送出
            in = urlcon.getInputStream();
            BufferedReader buffer = new BufferedReader(new InputStreamReader(
                    in, charset));
            StringBuffer bs = new StringBuffer();
            String line = null;
            while ((line = buffer.readLine()) != null) {
                bs.append(line);
            }
            result = bs.toString();
        }
        catch (Exception e)
        {
            logger.error(e.getMessage(),e);
            result = "ERROR:"+e.getMessage();
        }
        logger.info(result);
        return result;
    }
 

2、将公钥证书导入到jdk的信任库中
 

keytool-import -alias mykeystore -keystore cacerts -files client.cer
 

cacerts在jdk的\jre\lib\security目录下。
 

 

 

可以通过别名进行查询相关公钥
 

 

上面两种方式都可以解决证书的问题。
 

接下来可能会提示java.security.cert.CertificateException: Nosubject alternative names present
 

这个错误就是跟上面那个浏览器红色叉叉的原因一样,主机名跟CN不一致,我们可以通过两种办法避免这个错误。
 


 


 

上面两张图可以看到,我使用YU这个主机名访问是没问题的,但是使用IP地址就不行,就是因为我的证书中的CN配置的是YU,
 

如果写成ip地址的话也是可以的。
 

1、添加信任,这种方式是不验证这个CN了,绕过去了,直接返回true。
 

urlcon.setHostnameVerifier(new HostnameVerifier(){
    @Override
    public boolean verify(String s,SSLSession sslSession) {
        return true;
    }
});
 

2、就是修改自己的CN了。
 

到这个地方SSL单向已经完全弄完。
 

二、SSL双向
 

 

1、创建客户端证书,这里一定设定keyalg 为RSA,这个就是困扰我一天的地方。
 

keytool -genkeypair-v -alias client -keyalg RSA -storetype PKCS12 -keystore client.p12  -validity 36500
 
 

 

 

2、导出公钥证书
 

keytool -export-alias client -keyalg RSA -keystore client.p12 -file servertrustclient.cer
 
 

 

 

3、将公钥证书导入信任库中,这个信任库是给tomcat用的。配置在truststoreFile。
 

keytool -import -v-file servertrustclient.cer -keystore servertrustclient.keystore
 
 

 

4、tomcat配置
 

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true" maxThreads="150" scheme="https" secure="true" acceptCount="100"
  clientAuth="true" sslProtocol="TLS" truststoreFile="/etc/starry/starryThc/servertrustclient.keystore"
truststorePass="1112111"
keystoreFile="/etc/starry/starryThc/server.keystore"
keystorePass="123456"/>
 

5、重启
 

打开浏览器,我们发现
 


 

报错已经变了,这是因为浏览器中没有我们的客户端私钥证书
 

我们安装刚开始生成的.p12证书。再访问,就可以了。
 

这个客户端证书我刚开始的时候没有指定加密算法使用什么,keytool的keyalg默认使用了DSA,导致我在chrome、Firefox都一直不能实现双向访问
 

虽然选择了证书,之后就提示网页无法访问什么的。我前后尝试了好久也没有觉得证书有问题,之所以没有觉得证书有问题,是因为我在ie11中能正常访问,
 

使用java后台也能正常访问。所以一直认为是浏览器没有将证书带过去。
 

后来无意中发现前面创建证书是加了RSA的,尝试了一下,发现可以了。是不是跟tomcat也有关系,我没有去尝试,实在是没精力了。
 

 

6、双向java后台代码
 

跟上面的代码基本一样,就是添加了一个客户端证书进去,初始话的时候带上
 

sslContext.init(keyManagers,trustManagers, new java.security.SecureRandom());
 

前面是
 

sslContext.init(null,trustManagers, new java.security.SecureRandom());的写法。
 


 

public String doPostsWithOwnCerSSL2(Stringurl,String params,String type,String charset) {
        PrintWriter out = null;
        InputStream in = null;
        String result = null;
        try
        {
            String trustStorePath = "C:\\Users\\Administrator\\Desktop\\学习记录\\keytool\\2018-07-09双向重新配置\\truststore.keystore";
            String trustStorePassword = "123456";
            // 创建SSLContext对象,并使用我们指定的信任管理器初始化
            String privatecert = "C:\\Users\\Administrator\\Desktop\\学习记录\\证书安全问题\\keytool\\2018-07-09双向重新配置\\client.p12";
            String privatecertPsd = "111111";

            //创建SSL对象
            SSLContext sslContext =SSLContext.getInstance("SSL", "SunJSSE");

            //重写509TrustManager
            //添加信任库,也就是添加服务器的公钥证书进去
            TrustManagerFactory trustManagerFactory=TrustManagerFactory.getInstance("SunX509");
            KeyStoretrustKeyStore=KeyStore.getInstance("JKS");
            trustKeyStore.load(new FileInputStream(trustStorePath),trustStorePassword.toCharArray());
            trustManagerFactory.init(trustKeyStore);
            TrustManager[]  trustManagers=trustManagerFactory.getTrustManagers();
            //添加私钥证书,也就是客户端创建的p12证书,公钥已经给到服务器,在tomcat中已经配置
            KeyManagerFactory kmf =KeyManagerFactory.getInstance("SunX509","SunJSSE");
            KeyStore keyStore = KeyStore.getInstance("PKCS12");
            keyStore.load(new FileInputStream(privatecert),privatecertPsd.toCharArray());
           kmf.init(keyStore,privatecertPsd.toCharArray());
            KeyManager[] keyManagers = kmf.getKeyManagers();
            sslContext.init(keyManagers,trustManagers, new java.security.SecureRandom());
            // 从上述SSLContext对象中得到SSLSocketFactory对象
            SSLSocketFactory ssf =sslContext.getSocketFactory();
            URL uri = new URL(url);
            HttpsURLConnection urlcon =(HttpsURLConnection) uri.openConnection();
            urlcon.setDoInput(true);
            urlcon.setDoOutput(true);
           urlcon.setSSLSocketFactory(ssf);

            urlcon.setRequestMethod(type.toUpperCase());

            urlcon.setHostnameVerifier(newHostnameVerifier() {
                @Override
                public boolean verify(Strings, SSLSession sslSession) {
                    return true;
                }
            });
            urlcon.connect();
            out = new PrintWriter(urlcon.getOutputStream());
//            out.print(params);
            out.write(params);//相比print,write更直观一点
            out.flush();//数据送出
            in = urlcon.getInputStream();
            BufferedReader buffer = new BufferedReader(newInputStreamReader(
                    in, charset));
            StringBuffer bs = new StringBuffer();
            String line = null;
            while ((line =buffer.readLine()) != null) {
                bs.append(line);
            }
            result = bs.toString();
        }
        catch (Exception e)
        {
            logger.error(e.getMessage(),e);
            result = "ERROR:"+e.getMessage();
        }
        logger.info(result);
        return result;
    }
 

到此,ssl单双向就完成了,写的比较匆忙,中间写的估计会有点问题,有啥问题,欢迎留言。
 

 


 


 



                

        

        

    

  


    


                



	

		

			

				
					
Tomcat 开启基于httpsSSL配置

				
			

			

				

					05-28
				

			

		

		

			
				
Tomcat 开启基于 HTTPSSSL 配置  在互联网时代,安全性问题变得越来越重要,为了保护用户的隐私和数据,越来越多的网站开始使用 HTTPS 协议。Tomcat 作为一个流行的 Java Web 服务器,当然也支持 HTTPS 协议。...

			
		

	



                

            
              



	

		

			

				
					
Tomcat在服务器上配置HTTPS协议访问

				
			

			

				

					丁东的博客
				

				

					12-09
					
					1704
					
				

			

		

		

			
				
RT,修改tomcat访问时http协议为https

   怎么下载tomcat和证书的申请我就不多阐述了,网上一搜也比较的方法,就去阿里云申请一个免费的证书就可以了,记得下载证书的时候要下载对应tomcat 的证书哟。

   我在网上也搜索了很多方法,很多不是很清楚,有的说要把下载的证书用jdk转一下格式,转格式的这个方法应该是对应tomcat7之前版本的方法,我查资料有显示说tomcat7以及以上的版本不用把证书的PFX格式转换就可以直接使用。

ssl证书上传到 服务器。

在服务器上...

			
		

	



              


  
              

                


	

		

			

				
					
基于windows下的Tomcat8配置双向https认证(使用keytool自签证书)

				
			

			

				

					weixin_44275712的博客
				

				

					04-06
					
					1477
					
				

			

		

		

			
				
先推荐一个大神的文章,讲的特别好,就算像我这种零基础的也能看懂。
一、记录一下对HTTP、HTTPSSSL、TSL的理解:

HTTP:
HTTPSSSL:
TSL:

二、记录配置tomcat双向https认证过程


环境要求:
由于对Springboot项目使用了war包方式部署在外置tomcat上,因此tomcat服务器必须要有。(如何使用war包即外置tomcat部署Springboot项目点这里)。其次keytool自签证书生成工具是JDK自带的工具,所以想使用keytool也必须安装好j

			
		

	





	

		

			

				
					
Tomcat配置HTTPS

					
最新发布

				
			

			

				

					YhMjQx的博客
				

				

					08-28
					
					2864
					
				

			

		

		

			
				
本篇文章主要讲解如何基于Tomcat配置HTTPS

			
		

	



		

			
		



	

		

			

				
					
Tomcat8配置Https

				
			

			

				

					振宇要低调
				

				

					02-09
					
					934
					
				

			

		

		

			
				
生成keystore。在服务器上执行如下命令,只需要输入如下图所示的两个密码,例如:123456,其余均直接回车。启动tomcat之后,在客户端主机上,配置对应的域名,然后即可使用https进行连接。第一个

			
		

	





	

		

			

				
					
tomcat7 ssl 双向验证

				
			

			

				

					草木兰
				

				

					08-19
					
					147
					
				

			

		

		

			
				

    SUN公司提供了制作证书的工具keytool。在JDK 1.4以后的版本中都包含了这一工具,它的位置为&lt;JAVA_HOME&gt;\bin\keytool.exe
1、生成证书,36500表示100年,用户名输入域名,如localhost(开发或测试用)或IP或域名keytool -genkey -alias tomcat -keyalg RSA -keypass 123456 ...

			
		

	





	

		

			

				
					
Tomcat配置SSL证书

				
			

			

				

					qq_55946937的博客
				

				

					08-10
					
					896
					
				

			

		

		

			
				
tomcat中的bin目录下的执行    ./catalina.sh run。4.修改tomcat的conf文件夹中的server.xml文件。3.将pfx文件复制到tomcat的conf文件下。2.下载tomcat的压缩包。1.阿里云官网申请免费证书。5.重启tomcat

			
		

	





	

		

			

				
					
Tomcat配置SSL双向认证

				
			

			

				

					03-23
				

			

		

		

			
				
### Tomcat配置SSL双向认证详解  #### 一、SSL双向认证概述  SSL(Secure Sockets Layer,安全套接层)是一种用于确保Web通信安全的技术,它通过加密数据传输来保护信息不被未授权访问。SSL协议的核心是实现客户端与...

			
		

	





	

		

			

				
					
Nginx+Tomcat配置SSL双向验证示例

				
			

			

				

					03-18
				

			

		

		

			
				
本资源是一个 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证配置示例。详细如何配置请参考博客《图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》,地址是:...

			
		

	





	

		

			

				
					
基于Tomcat搭建SSL双向认证示例【100012422】

				
			

			

				

					05-24
				

			

		

		

			
				
在IT行业中,安全通信是至关重要的,特别是...通过上述步骤,你可以在Tomcat实现一个完整的SSL双向认证环境,并利用Java和Apache HttpClient进行安全的通信。这个过程对于理解网络安全和提高应用安全性具有重要意义。

			
		

	





	

		

			

				
					
tomcat8增加ssl证书

				
			

			

				

					06-07
				

			

		

		

			
				
增加ssl证书,用https访问,修改tomcat配置。路径:/.../tomcat/conf/server.xml

			
		

	





	

		

			

				
					
Tomcat8配置HTTPS

				
			

			

				

					一只没有脚的鸟
				

				

					07-13
					
					1159
					
				

			

		

		

			
				
直接看配置,多余的注释都已经删除了
server.xml
<?xml version="1.0" encoding="UTF-8"?>
<Server port="8005" shutdown="SHUTDOWN">
  <Listener className="org.apache.catalina.startup.VersionLoggerListener" />
  <!-- Security listener. Documentation at /docs/

			
		

	





	

		

			

				
					
tomcat8.5配置https

				
			

			

				

					m0_67402125的博客
				

				

					08-25
					
					2073
					
				

			

		

		

			
				
先进入tomcat conf目录下,创建一个文件夹key然后,keytool.exe 命令位于Javajdk1.8.0_77in的目录下,如果没有配置Jdk的环境变量,就要进入目录再使用。命令参数部分解释:**C:apache-tomcat-8.5.31confkey omcat.keystore :**表示数字证书生成后的文件路径:表示有效时间,36500天,默认90天。

			
		

	





	

		

			

				
					
Tomcat8 配置SSL

				
			

			

				

					const_
				

				

					02-26
					
					811
					
				

			

		

		

			
				
创建证书
用JDK自带的keytool工具生成证书:
keytool -v -genkey -alias cyber_space -keyalg RSA -keystore C:\tomcat8\conf\key\cyber_space.keystore -validity 36500

命令参数部分解释:
C:\tomcat8\conf\key\cyber_space.keystore :表示数...

			
		

	





	

		

			

				
					
一个Tomcat配置两个SSL证书

				
			

			

				

					大强博客
				

				

					01-28
					
					6170
					
				

			

		

		

			
				
修改tomcat/conf/server.xml文件中的红色部分:

&lt;?xml version="1.0" encoding="UTF-8"?&gt;
&lt;!--
  Licensed to the Apache Software Foundation (ASF) under one or more
  contributor license agreements.  See the ...

			
		

	





	

		

			

				
					
Tomcat8.5 配置SSL证书(安装PFX格式证书)

				
			

			

				

					qq_36827979的博客
				

				

					06-02
					
					2526
					
				

			

		

		

			
				
Tomcat服务器支持安装PFX格式和JKS两种格式的证书,您可以根据Tomcat版本选择要下载的证书格式。本文介绍了安装PFX格式证书的具体步骤。

			
		

	





	

		

			

				
					
Tomcat8.5部署HTTPS证书(.jks)

				
			

			

				

					qq_37956465的博客
				

				

					06-16
					
					1886
					
				

			

		

		

			
				
Tomcat 部署HTTPS证书

			
		

	





	

		

			

				
					
tomcat8安装https证书

				
			

			

				

					weixin_34278190的博客
				

				

					08-04
					
					160
					
				

			

		

		

			
				
1、进入网址 https://myssl.com/cert_convert.html 将证书转成jks格式,并放到tomcat conf根目录下
2、打开tomcat server.xml 配置
  将如下配置放开注释,并改成如下:

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtoco...

			
		

	





	

		

			

				
					
Tomcat7双向SSL配置教程

				
			

			

				

					
				

			

		

		

			
				
Tomcat配置中,需要开启`clientAuth="true"`,并指定信任库路径,以便服务器能够验证客户端的证书。  通过以上步骤,可以在Tomcat7环境中实现向和双向SSL通信,提供安全的Web服务。务必注意,生产环境中应使用...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 2

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值