使用 JDK 自带的工具 keytool 生成受信任的证书实现 tomcat 的 https 访问

最新推荐文章于 2023-12-05 23:36:28 发布
最新推荐文章于 2023-12-05 23:36:28 发布
阅读量1.3k 收藏 6
点赞数 2
分类专栏: # tomcat 文章标签: tomcat https http跳转到https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011046671/article/details/103203892
版权

一、基础环境

操作系统:Windows 或 Linux

JDK 版本:1.8.0_191 (64位)

tomcat 版本:8.5.35 (64位)

二、解决问题

在开发环境或只有内网的生产环境中,没有域名和公网 IP 的情况下,无法向 CA 机构申请 SSL 证书,我们可以使用 JDK 自带的工具 keytool 生成证书来实现 tomcat 的的 https 访问。

三、操作步骤

1、将 tomcat 启动,看是否能够正常运行。

2、打开命令提示符或shell 执行以下命令:

keytool -genkeypair -alias tomcat -keyalg RSA -validity 3650 -keypass 123456 -keystore D:\tomcat.keystore -ext SAN=ip:192.168.40.65

命令的参数含义:

-genkeypair生成密钥对
-alias要处理的条目的别名
-keyalg密钥算法名称
-validity有效天数
-keypass密钥口令
-keystore密钥库名称,即存放位置
-extX.509 扩展

3、输入命令后会弹出以下提示,按照提示操作即可。

设置密钥库的口令,一般可以设置为:123456 。您的名字与姓氏是什么?这里需要输入用户访问的地址,如果地址做了映射,需要输入映射之后的地址,如果没有映射,输入服务器地址即可。其他地方可以按照实际情况填写,也可以留空直接按回车。最后弹出一个警告和一行命令,将命令复制出来,直接执行即可。

4、输入命令后会弹出以下提示,按照提示操作即可。

输入源密钥库的口令后,程序自动完成迁移。

5、使用以下命令导出证书,会生成一个 cer 文件。

keytool -exportcert -rfc -alias tomcat -file D:\tomcat.cer -keystore D:\tomcat.keystore -storepass 123456

命令的参数含义:

-exportcert导出证书
-rfc以 RFC 样式输出
-alias要处理的条目的别名
-file输出文件名
-keystore密钥库名称
-storepass密钥库口令

6、导入到JRE 证书库,其中 %JAVA_HOME% 为 tomcat 使用的 JDK的 JAVA_HOME,最后输入 Y 按回车。

keytool -import -trustcacerts -alias tomcat -file D:\tomcat.cer -keystore %JAVA_HOME%\jre\lib\security\cacerts -storepass changeit

命令的参数含义:

-import导入证书或证书链
-trustcacerts信任来自 cacerts 的证书
-alias要处理的条目的别名
-file输入文件名
 -keystore密钥库名称
-storepass密钥库口令 (默认为changeit)

7、将生成 tomcat.keystore 复制到 tomcat 的 conf 目录下。

8、配置 tomcat/conf/server.xml  将下面的内容

<!--
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"
               maxThreads="150" SSLEnabled="true" >
        <UpgradeProtocol className="org.apache.coyote.http2.Http2Protocol" />
        <SSLHostConfig>
            <Certificate certificateKeyFile="conf/localhost-rsa-key.pem"
                         certificateFile="conf/localhost-rsa-cert.pem"
                         certificateChainFile="conf/localhost-rsa-chain.pem"
                         type="RSA" />
        </SSLHostConfig>
    </Connector>
 -->

替换为:

<Connector port="8443" protocol="HTTP/1.1"
           maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
		   clientAuth="false" sslProtocol="TLS" 
		   keystoreFile="conf/tomcat.keystore"
		   keystorePass="123456" >
</Connector>

8、导入证书。找到生成 tomcat.cer 然后双击该证书,然后点击【安装证书】,点击【下一步】,【存储位置】选择【本地计算机】,点击【下一步】,选中【将所有的证书都放入下列存储】,然后单击【浏览】,选择【受信任的根证书颁发机构】,然后点击【确定】,点击【下一步】,点击【完成】。然后弹出提示【导入完成】。

9、重新启动 tomcat ,待启动完成后,打开 IE 浏览器,输入https://192.168.40.65:8443/ 即可通过 https 访问tomcat。

10、我们希望访问 http 地址,tomcat 自动 跳转到 https。打开tomcat/conf/web.xml 在 </welcome-file-list> 与 </web-app> 加入如下代码:

<login-config>  
    <!-- Authorization setting for SSL -->  
    <auth-method>CLIENT-CERT</auth-method>  
    <realm-name>Client Cert Users-only Area</realm-name>  
</login-config>  
<security-constraint>  
    <!-- Authorization setting for SSL -->  
    <web-resource-collection >  
        <web-resource-name >SSL</web-resource-name>  
        <url-pattern>/*</url-pattern>  
    </web-resource-collection>  
    <user-data-constraint>  
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>  
    </user-data-constraint>  
</security-constraint>

保存后,重新启动tomcat 即可实现在地址栏中可以直接输入地址 “http” 会自动跳转成为 “https://” 。

11、如果想只输入 IP 地址,不加端口号直接访问服务的话。可以将端口号 8080 修改成 HTTP 协议的默认端口号 80。把端口号 8443 修改成 HTTPS 协议的端口号 443 即可。

参考资料:

1、https://blog.csdn.net/oicqxiesidilieric/article/details/8464834

2、https://www.cnblogs.com/luchangyou/p/5889161.html

杨群
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
https证书(nginx、tomcat均可用).zip
03-16
自己手工生成的,拿去不谢。有nginx的pemkey证书,也有tomcat的jks证书,拿去不谢
LINUX下安装SSL证书
LI_AINY的博客
07-04 7466
环境为CentOS,jdk1.8 进入jdk路径下\jre\lib\security 执行命令keytool -import -alias pm -keystore cacerts -file /usr/local/soft/pm.cer 其中-alias 后面的pm为别名,-file后面的为证书路径 输入密码 默认为changeit 出现是否信任证书,输入y 成功后通过命令...
linux中jdk导入第三方https的ca证书
最新发布
lanren312的博客
12-05 1381
标准格式:keytool -import -trustcacerts -keystore ./cacerts -alias 别名 -file 证书路径/证书文件。keytool -import -trustcacerts -keystore ./bbb -alias 别名 -file 证书路径/证书文件。keytool -import -trustcacerts -keystore ./aaa -alias 别名 -file 证书路径/证书文件。1、导入命令,多个分开导入。
腾讯云Tomcat配置SSL证书
爱丽淇的博客
04-23 7491
每当我们连接互联网,访问一个网站浏览网页时,在浏览器的地址栏中,都会出现以HTTP或者HTTPS开头的IP网址。其中,HTTP协议是目前互联网上应用最为广泛的一种网络协议,所有的WWW文件都必须遵守这个标准。 然而HTTP协议是以明文方式发送通讯内容的,不提供任何方式的数据加密,这就导致了该方式的不安全性。由此,能够提供数据传输安全连线的HTTPS(超文本加密传输协议)便衍生出来,成为今天主流网
Tomcat使用keypem配置HTTPS证书
倒骑驴走着瞧的博客
03-04 3311
首先推荐一个良心网站:https://freessl.org/ 输入自己的域名,生成证书: 该步骤完成后会得到如下证书文件 MAC下直接命令生成.p12文件 openssl pkcs12 -export -inkey private.key -in full_chain.pem -name tomcat -out tomcat.p12 过程中需要输入密码,记好! 通过keytoo...
Tomcat配置https单向加密
01-11
这可以通过JDK自带的`keytool`命令行工具来完成。在命令提示符或终端中,进入JDK的`bin`目录,例如对于Windows系统,可以通过CMD并以管理员身份运行。然后,使用以下命令生成一个名为`tomcat`的密钥对,并将其存储在...
tomcat配置https
09-23
在Windows 7环境下,使用JDK(这里是版本1.6.0_23)自带的`keytool`命令行工具生成自签名证书。运行以下命令: ```bash keytool -genkey -alias tomcat -keyalg RSA -keystore c:\tomcat.keystore -validity ...
Tomcat配置SSL证书的方法
01-10
一、先使用JDK自带的加密工具生成一对秘钥文件 进入JDK的bin目录下,打开命令行工具,输入 代码如下:keytool -genkeypair -alias “tomcat” -keyalg “RSA” -keystore “f:\tomcat.keystore”  这样就会生成...
keystoke证书转换nginx证书工具
05-18
`keytool`是Java Development Kit (JDK) 自带的一个命令行工具,用于管理密钥对和数字证书。 首先,我们需要理解SSL/TLS证书的基础知识。SSL(Secure Socket Layer)和其后续版本TLS(Transport Layer Security)是...
tomcat httphttps.docx
05-12
在Java开发环境中,我们可以使用JDK自带的`keytool`工具生成自签名的证书。在命令行中,输入以下命令: ```bash keytool -genkeypair -alias "tomcat" -keyalg "RSA" -storepass "123456" -validity 36500 -...
Tomcat 配置SSL证书 实现HTTPS访问 - 伪证书
Ma Ding的博客
02-02 1672
HTTPS超文本传输安全协议,英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS、HTTP over SSL或HTTP Secure,是一种网络安全传输协议,在传统HTTP传输未加密的基础之上利用SSL/TLS来对数据包进行加密并提供安全、可信的请求、响应服务。 目前绝大多数平台的网站已经很好的支持了https,而且https未来也应该是主流趋势,大家比较常见的https网站,如: 12306 https://www.123..
非对称加密实战(一):JDK生成keystore获取公钥私钥及代码验证【附源码】
持续学习,持续更新
01-07 2730
理解:非对称加密需要两把密钥:公钥和私钥,他们是一对,如果用公钥对数据加密,那么只能用对应的私钥解密。如果用私钥对数据加密,只能用对应的公钥进行解密。因为加密和解密用的是不同的密钥,所以称为非对称加密。客户端发请求到服务端,需要拿着自己的公钥发送过去,而服务端收到后,拿着对应的私钥进行解密,解密成功后,进行下一环节。如果在中间被第三方拦截到,篡改内容,服务端没有对应的公钥,服务端则解析失败。输入命令生成自己的keystore文件。私钥加密---------》公钥解密。公钥加密---------》私钥解密。
java keytool 代码_JDK keytool证书工具功能代码解析_java_脚本之家
weixin_39702714的博客
02-13 282
一、生成证书keytool -genkey -alias tomcat -keyalg RSA -keystore D:/tomcat.keystore -keypass 123456 -storepass 123456 -dname "CN=xingming,OU=danwei,O=zuzhi,L=shi,ST=sheng,C=CN"keytool -genkey -alias tomcat -...
搭建linux环境,将platform.pk8、platform.x509.pem转成keystore类型的签名文件
XIADANXIN的博客
02-02 898
由于应用使用到了系统权限android:sharedUserId="android.uid.system",所以得使用platform.pk8、platform.x509.pem进行签名,但是好不繁琐,要先打包出来,然后再用签名工具进行签名,于是我寻思着能不能转为android studio的签名文件类型,没想到还真可以,所以便动手了,在此记录一下过程,以助来者。 一、首先呢,是下载VMware虚拟机和linux系统(作者用的是ubantu(乌班图)) VMware虚拟机随便搜一个下载,linux系统从
使用JDK自带keytool生成证书
热门推荐
kunlyy的专栏
07-10 1万+
Java keytool 的介绍 keytool 命令介绍 keytool使用
jdk工具生成tomcat搭建https服务
qq_33454058的博客
07-10 182
一、生成服务器站点证书 1. 生成密钥仓库 进入jdk的bin目录,如:D:\jdk1.6.0_16\bin 执行: D:\jdk1.6.0_16\bin\keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -keystore D:\keys\server.keystore -validity 36500 参数说明: -genkey 生成秘钥。 -keyalg 指定秘钥算法,这里指定RSA -keysize 指定秘钥长度, 默认1024位 ,这
java如何才能提供HTTPS服务
Angus
11-23 5406
正常情况下,我们写的服务是http的。但是如何才能让我们的服务提供https服务? 跟着我这篇文章,简单三步就可以让你的服务从http变成https服务! 先讲怎么做,最后讲原理 ##第一步,生成证书 找到我们安装JDK的bin目录 在bin目录下,输入cmd按回车 然后看到,下边的命令行工具,输入以下内容,然后按回车,就让输入密钥库的口令,也就是设置一个密码。输入以后按回车,然后再确认输入再按回车。然后让输入名字单位之类的,可以直接回车,一路回车就生成成功...
Java访问https接口实现
mno2330的博客
03-05 323
用两种方式分别实现了,第一种是jdk原生的,代码稍微多点,第二种是基于httpclient4版本的。在我的机器上,访问同一个接口原生的性能要好很多(前者900ms,后者5.7s左右),httpclient主要性能消耗在"HttpResponse res = client.execute(post);",大约占总执行时间的90%。     Java代码   private...
jdk自带keytool生成证书
ls_call520的专栏
04-28 558
1、进入jdk安装目录:cd C:\Program Files\Java\jdk1.8.0_291。
JDK自带工具keytool生成ssl证书具体操作
05-05
可以按照以下步骤使用 keytool 工具生成自签名的 SSL 证书: 1. 打开命令行窗口,并导航到 JDK 的 bin 目录下。 2. 输入以下命令以生成 SSL 证书: ```bash keytool -genkey -alias mydomain -keyalg RSA -keystore keystore.jks -keysize 2048 ``` 其中,`mydomain` 是证书别名,`keystore.jks` 是证书库的名称。 3. 在运行上述命令后,会提示输入一些信息,如下所示: ```bash What is your first and last name? [Unknown]: example.com What is the name of your organizational unit? [Unknown]: IT What is the name of your organization? [Unknown]: Example Corp What is the name of your City or Locality? [Unknown]: Anytown What is the name of your State or Province? [Unknown]: CA What is the two-letter country code for this unit? [Unknown]: US Is CN=example.com, OU=IT, O=Example Corp, L=Anytown, ST=CA, C=US correct? [no]: yes Enter key password for <mydomain> (RETURN if same as keystore password): ``` 按照提示输入相关信息,其中 `CN`(Common Name)应该与您的域名相匹配。 4. 然后,系统会提示输入密钥库密码和密钥密码。这两个密码应该是不同的。如果您希望两个密码相同,可以按回车键跳过第二个密码的设置。 5. 生成证书后,可以使用以下命令查看证书的详细信息: ```bash keytool -list -v -keystore keystore.jks ``` 这将输出证书的详细信息,包括证书别名、证书类型、证书序列号、颁发者、有效期等。 6. 最后,将生成证书用于您的应用程序中。 注意:在生产环境中,应该使用信任的第三方机构颁发的证书。这些证书可以通过购买或免费获取。自签名的证书仅适用于开发和测试环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值