实现 tomcat 热加载证书

最新推荐文章于 2023-12-29 08:00:00 发布
最新推荐文章于 2023-12-29 08:00:00 发布
阅读量1.7k 收藏 3
点赞数 1
分类专栏: java基础 文章标签: tomcat https 动态加载密钥文件

原文地址:https://my.oschina.net/u/157514/blog/395238

之前一篇中说了如何 建立 https 通信的完整流程,其中涉及了java web容器 tomcat,关于它的配置是:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"          
		SSLEnabled="true"      
		maxThreads="150" 
		scheme="https" 
		secure="true"
		clientAuth="true" sslProtocol="TLS" 
		keystoreFile="D:\ssl\server.keystore" keystorePass="123456"    
		truststoreFile="D:\ssl\server.keystore" truststorePass="123456"/>

对应的keyStore(包括私钥库和受信任证书库)是在tomcat启动时一次性加载到内存中的。

大多数的场景这就够了,但是如果 要构建一个 基于https、受信任证书的 权限验证体系,像上边的那样 一次性加载 keyStore 就算 我们从键库中删除某个证书,程序是没办法探知的。我急需一种热加载 keyStore的技术。

我们修改对应的配置为

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" 
   SSLEnabled="true"
   maxThreads="150" scheme="https" secure="true"
   clientAuth="true" sslProtocol="TLS" 
   keystoreFile="d:/ssl/server.keystore" 
   keystorePass="123456" 
   trustManagerClassName="MyTrustManager"/>


这里 自己的私钥键库是不需要也是不能重新加载的,关键在与证书键库,我们创建了一个在自定义的类叫

MyTrustManager 用来管理受信任证书,他需要实现接口 X509TrustManager 并提供一个无参的构造函数。

然后将其打包成jar后,部署到tomcat的lib目录(注意connector是在tomcat启动时构建的,所以代码不能放在你自己的web项目里,因为当时tomcat还没有classLoad你的类呢)下边是参考代码

public class MyTrustManager implements X509TrustManager {

    public MyTrustManager(){}

    @Override
    public void checkClientTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
        System.out.println("check");
        if(x509Certificates==null||x509Certificates.length==0||s==null||s.length()==0) throw new IllegalArgumentException();
        KeyStore store=getKeyStore();
        boolean pass=false;
        try {
            for(X509Certificate certificate:x509Certificates){
                certificate.checkValidity();
                String theAlias = store.getCertificateAlias(certificate);
                if(theAlias!=null)pass=true;
            }
        } catch (KeyStoreException e) {
            e.printStackTrace();
        }
        System.out.println("pass "+pass);
        if(!pass)throw new  CertificateException();
    }

    @Override
    public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
        if(x509Certificates==null||x509Certificates.length==0||s==null||s.length()==0) throw new IllegalArgumentException();
        for(X509Certificate certificate:x509Certificates){
            certificate.checkValidity();
        }
    }

    @Override
    public X509Certificate[] getAcceptedIssuers() {
        ArrayList<X509Certificate> trusts=new ArrayList<X509Certificate>();
        try {
            KeyStore store=getKeyStore();
            Enumeration<String> alias = store.aliases();
            while (alias.hasMoreElements()){
                String name = alias.nextElement();
                if(store.isCertificateEntry(name)){
                    X509Certificate trust = (X509Certificate) store.getCertificate(name);
                    trusts.add(trust);
                }
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        X509Certificate[] trustsArr = trusts.toArray(new X509Certificate[0]);
        System.out.println("return trust array "+trustsArr.length);
        return trustsArr;
    }

    private KeyStore getKeyStore() throws CertificateException {
        try {
            KeyStore store = KeyStore.getInstance(KeyStore.getDefaultType());
            store.load(new FileInputStream("D:/ssl/server.keystore"),"123456".toCharArray());
            return store;
        } catch (Exception e) {
            e.printStackTrace();
            throw new CertificateException();
        }
    }
}

getAcceptedIssuers 返回server端的所有信任的证书,这样client (比如浏览器)才知道应该挑选哪些它所拥有的证书来询问你,证书必须是双方都认识的。


checkClientTrusted  是对client提交过来的证书进行验证,certificate.checkValidity();验证证书是否过期,store.getCertificateAlias(certificate)从自己的键库中寻找对应的证书,不存在返回null,发现验证不通过 就自己手动抛出一个异常CertificateException,这样容器就知道如何处理了。

getKeyStore中是加载键库,由于每次验证时才加载键库,所以就实现了热加载。当然为了性能你可以把keyStore放到某个全局变量里,在需要的时候对其进行reload。


综上所述,你可以实现一个通过添加信任证书的方式来对请求方进行控制的系统了。

注意:https为了性能在建立了SSL-SESSION之后允许不再进行证书验证,你在浏览器里访问做实验需要关闭浏览器后重新访问才会看到keyStore更新生效,你也可以通过代码设法销毁SSL-SESSION让每次https请求都重新握手验证。参考:http://blog.csdn.net/ibznphone/article/details/7846879


萝卜地里的兔子
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Tomcat配置SSL证书
个人学习笔记库,一篇一篇记录成长的足迹
07-30 1万+
本地即服务器以tomcat作为服务器的ssl证书配置,开放https安全访问。
Tomcat实现部署、加载原理解析
最新发布
2401_84009837的博客
04-18 736
本人面试腾讯,阿里,百度等企业总结下来的面试经历,都是真实的,分享给大家!
Tomcat加载部署配置(简洁明了)
qq_46119575的博客
07-06 5325
部署就是在服务器运行时重新部署项目,加载即在在运行时重新加载class,从而升级应用。
WinXP下安装未签名的驱动程序
guoqx的专栏
12-29 598
在WinXP上安装一些非微软WHQL认证的驱动时,有时会失败,显示“TRUST_E_NOSIGNATURE”错误。现在微软官方已不提供rootsupd.exe的下载,如果手里没有这个文件,要另想办法。WinXP是个很老的操作系统了,微软也早已不提供维护,但还是有些设备或电脑上运行的。为了解决这个问题,需要下载rootsupd.exe这个应用程序,来更新微软root certificate。1,双击rootsupd.exe进行安装,安装过程是没有任何显示的。3,安装设备驱动程序。
tomcat部署
yaoyy2009的专栏
03-24 1320
部署是指在你修改项目BUG的时候对JSP或JAVA类进行了修改在不重启WEB服务器前提下能让修改生效。但是对配置文件的修改除外! 1、直接把项目web文件夹放在webapps里。 2、在tomcat\conf\server.xml中的&lt;host&gt;&lt;/host&gt;内部添加&lt;context/&gt;标签: &lt;Context debug="0" ...
tomcat部署和加载
热门推荐
waitle500的博客
01-25 1万+
tomcat部署和加载
tomcat_config.zip
03-14
5. **部署**:为了实现应用的部署,可以在`conf/context.xml`中为每个项目启用`reloadable="true"`属性,这样当检测到WEB-INF目录下的类文件或配置文件变化时,Tomcat会自动重新加载应用。 6. **端口配置**:...
apache-tomcat-7.0.82_tomcat_
09-30
安全方面,Tomcat支持SSL/TLS,可以通过修改`conf/server.xml`中的`<Connector>`元素配置证书密钥库,实现HTTPS连接。此外,应定期更新Tomcat以获取最新的安全补丁。 总之,Apache Tomcat 7.0.82在Windows系统上...
tomcat9.rar
09-03
为了保护数据传输安全,Tomcat9支持SSL和TLS协议,可以通过server.xml配置文件设置证书密钥库,实现HTTPS连接。 四、性能优化 4.1 线程池管理 Tomcat9允许自定义线程池,通过调整最大线程数、最小线程数和线程...
tomcat优化视频
08-23
- SSL/TLS配置:如何为Tomcat启用HTTPS,配置证书密钥库。 - 用户访问控制:设置Realm和角色,实现基于角色的访问控制。 8. **性能监控与诊断** - JMX监控:通过JMX接口监控Tomcat的各项指标,如线程池状态、...
tomcat8.0-jar包
01-05
6. **部署**:在开发环境中,Tomcat可以检测到Web应用的改动,并自动重新加载,无需重启服务器。 7. **多线程模型**:Tomcat使用基于线程的工作模型,每个请求由一个单独的线程处理,提高了并发处理能力。 8. **...
详解tomcat部署和加载的方法
01-10
详解tomcat部署和加载的方法 我在项目开发过程中,经常要改动Java/JSP 文件,但是又不想从新启动服务器(服务器从新启动花时间),想直接获得(debug)结果.有两种方式部署 和加载:  1.加载:在server.xml -> context 属性中 设置 reloadable=”true” <Context docBase=xxx path=/xxx reloadable=true/> 2. 部署:在server.xml -> context 属性中 设置  autoDeploy=”true” <Context docBase=xxx path=/
kb931125—rootsupd_下载_KB931125-rootsupd补丁 官方版_6z6z下载站
weixin_29664063的博客
01-12 4495
kb931125-rootsupd.rar让你在安装部分软件的时候,证书不出现问题,帮助系统自动修复,特别是针对一些版本较老的系统而言,大部分的提示出错的问题都可以得到解决。如何使用?exe文件,双击安装即可。官方介绍本更新程序将计算机上的根证书列表更新为 Microsoft 在 Microsoft 根证书计划中所接受的列表。通过向计算机添加更多根证书,可以在 Internet Explorer ...
kb931125—rootsupd_微软kb931125根证书更新程序
weixin_39573781的博客
12-20 2752
kb931125根证书更新程序是一款适用于微软windowsxp系统的漏洞补丁修复工具,它主要是为了更新Microsoft 在 Microsoft 根证书计划中的列表信息,如果你遇到了根证书缺失等相关问题,那么可以试着下载安装这个试试。软件简介:微软的根证书,部分软件安装需要,不打补丁无法安装。比如某个编程软件←_←KB931125是微软发布系统修复补丁,只要用来更新Microsoft 在 Mi...
SpringBoot https双向认证实现证书加载
mzh1994s的博客
10-11 1938
SpringBoot 实现SSL证书加载外置Tomcat实现请转移到此处(本文也是受此文章启发)SpringBoot方式前言缺点结尾 外置Tomcat实现请转移到此处(本文也是受此文章启发) https://blog.csdn.net/u012613903/article/details/53608331 SpringBoot方式 前言 公司做的是金融服务,需要为第三方提供Http接口服务,但由...
tomcat添加crt证书
weixin_34365635的博客
04-12 3647
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring boot 项目 配置https添加服务端客户端证书认证
Always on the road
09-04 7136
Spring boot 项目 配置https 进入cmd窗口,在jdk的bin目录下面执行 keytool -genkey -alias tomcat -keyalg RSA -keystore ./server.keystore 按照提示进行操作。 然后在项目的配置文件中加入下面的配置 server.port=443 server.ssl.key-store=classpat...
tomcat安装ssl证书[推荐]
zbuger的博客
06-16 546
一、   生成证书请求   1.  安装JDK   安装Tomcat需要JDK支持。JDK1.6默认只支持 SSLv3 和 TLSv1 两个版本的https协议,JDK 1.7 版本默认禁用SSLv3,并支持 TLSv1、TLSv1.1及TLSv1.2。Tomcat 6及以下版本在使用 JDK 1.6及以下版本的运行环境时,可能存在无法禁用 SSLv3的情况。此时建议您升级 Tom
Tomcat配置 https SSL证书,超级简单和实用
清风明月独相伴
07-24 8127
提前:先生成key,cer,pfx文件。(前面博客已经写过了:https://blog.csdn.net/xp_zyl/article/details/81146536) 一、生成 jks 文件或者生成keystore文件(记得要在key,cer,pfx目录下) 生成keystore命令(推荐):keytool -genkeypair -alias "tomcat" -keyalg "RSA...
tomcat如何加载class文件
07-13
Tomcat默认不支持加载class文件,但可以通过一些方式实现加载。下面是一种常用的方法: 1. 使用Tomcat的"autoDeploy"特性:在Tomcat的conf目录下的server.xml文件中找到<Host>元素,将其配置为如下形式: ```xml <Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true"> ``` 2. 将项目的war文件或者目录放置在Tomcat的webapps目录下。 3. 启动Tomcat服务器,它会自动将war文件或目录部署为一个应用。 4. 当你修改了应用中的class文件时,Tomcat会检测到变化并自动重新加载该应用。你可以在控制台日志中查看到相关的日志信息。 需要注意的是,这种方式存在一些限制和注意事项: - 该方式只会重新加载class文件,对于修改了配置文件或其他资源文件的变化不会生效,需要重启Tomcat才能生效。 - 如果你频繁修改class文件,可能会导致Tomcat频繁重新加载应用,影响性能。 - 在生产环境中,建议使用其他更高级的加载技术,如JRebel或DCEVM等。 希望对你有所帮助!如有更多问题,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值