https 证书生产及服务器配置

最新推荐文章于 2024-07-27 09:40:40 发布
最新推荐文章于 2024-07-27 09:40:40 发布
阅读量1.7k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012882577/article/details/51982492
版权
# 单向认证


## server端


step1:为服务端生成秘钥库


```
sudo keytool -genkeypair -alias server_key_pair_1 -validity 365 -keyalg RSA -keystore /usr/local/crm_keystore/server/carfinance.crm.server.keystore


"Enter keystore password",输入要设置的keystore的password,例如输入"carCrm747"


"Re-enter new password:",重复输入"carCrm747"


"What is your first and last name?",注意要输入的是服务的域名或者机器名等,例如输入"localhost"


"What is the name of your organizational unit?",输入无特殊要求,例如输入"carfinance"


"What is the name of your organization?",输入无特殊要求,例如输入"mljr"


"What is the name of your City or Locality?",输入无特殊要求,例如输入"beijing"


"What is the name of your State or Province?",输入无特殊要求,例如输入"beijing"


"What is the two-letter country code for this unit?",输入无特殊要求,例如输入"cn"


"Enter key password for <server_key_pair_1> (RETURN if same as keystore password):",注意server_key_pair_1这个秘钥的password必须和keystore保持一致,所以此处直接回车即可
```


step2:tomcat配置


修改tomcat的server.xml,将下面这段


```
<!-- Define a SSL/TLS HTTP/1.1 Connector on port 8443
     This connector uses the NIO implementation that requires the JSSE
     style configuration. When using the APR/native implementation, the
     OpenSSL style configuration is required as described in the APR/native
     documentation -->
<!--
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    clientAuth="false" sslProtocol="TLS"/>
-->
```


改为


```
<!-- Define a SSL/TLS HTTP/1.1 Connector on port 8443
     This connector uses the NIO implementation that requires the JSSE
     style configuration. When using the APR/native implementation, the
     OpenSSL style configuration is required as described in the APR/native
     documentation -->
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    clientAuth="false" sslProtocol="TLS" 
    keystoreFile="/usr/local/crm_keystore/server/carfinance.crm.server.keystore" keystorePass="carCrm747"/>
```


注意clientAuth="false"表示是单向认证,keystoreFile的值设为服务端keystore的路径,keystorePass是服务端keyStore的密码


## cleint端


无特殊配置


## 验证


step1:用修改过配置后的tomcat启动carfinance-crm-httpsdemo-server模块


step2:使用客户端调用服务端接口


运行carfinance-crm-httpsdemo-client模块的src/test/java目录下的UnilateralHttpsClientTest的testGet()和testPost()方法分别测试https的GET请求和https的POST请求


# 双向认证


## server端


step1:为服务端生成秘钥库,注意事项和单向认证的step1相同


```
sudo keytool -genkeypair -alias server_key_pair_1 -validity 365 -keyalg RSA -keystore /usr/local/crm_keystore/server/carfinance.crm.server.keystore
```


keystore的password设置为"carCrm747"


step2:导出服务端证书


```
sudo keytool -export -alias server_key_pair_1 -validity 365 -file /usr/local/crm_keystore/server/server_key_1.crt -keystore /usr/local/crm_keystore/server/carfinance.crm.server.keystore
```


需要输入keystore密码,输入"carCrm747"


step3:用客户端证书生产服务端信任证书库(客户端证书的生成参考后面的client端部分,这个步骤要在客户端生成证书完成之后进行)


```
sudo keytool -import -alias client_crt -validity 365 -file /usr/local/crm_keystore/client/client_key_1.crt -keystore /usr/local/crm_keystore/server/carfinance.crm.server.truststore
```


注意这个步骤要为truststore设置密码,例如设为"890890"


step4:tomcat配置
      
修改tomcat的server.xml,将下面这段
      
```
<!-- Define a SSL/TLS HTTP/1.1 Connector on port 8443
    This connector uses the NIO implementation that requires the JSSE
    style configuration. When using the APR/native implementation, the
    OpenSSL style configuration is required as described in the APR/native
    documentation -->
<!--
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    clientAuth="false" sslProtocol="TLS"/>
-->
```
      
改为


```
<!-- Define a SSL/TLS HTTP/1.1 Connector on port 8443
    This connector uses the NIO implementation that requires the JSSE
    style configuration. When using the APR/native implementation, the
    OpenSSL style configuration is required as described in the APR/native
    documentation -->
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    clientAuth="true" sslProtocol="TLS"
    keystoreFile="/usr/local/crm_keystore/server/carfinance.crm.server.keystore" keystorePass="carCrm747"
    truststoreFile="/usr/local/crm_keystore/server/carfinance.crm.server.truststore" truststorePass="890890"/>
```


注意clientAuth="true"表示是双向认证,keystoreFile的值设为服务端keystore的路径,keystorePass是服务端keyStore的密码,truststoreFile是服务端truststore的路径,truststorePass是服务端truststore的密码


## cleint端


step1:为客户端生成秘钥库


```
sudo keytool -genkeypair -alias client_key_pair_1 -validity 365 -keyalg RSA -keystore /usr/local/crm_keystore/client/carfinance.crm.client.keystore


"Enter keystore password",输入要设置的keystore的password,例如输入"123456"


"Re-enter new password:",重复输入"123456"


"What is your first and last name?",输入无特殊要求,例如输入"httpsdemo-client"


"What is the name of your organizational unit?",输入无特殊要求,例如输入"carfinance"


"What is the name of your organization?",输入无特殊要求,例如输入"mljr"


"What is the name of your City or Locality?",输入无特殊要求,例如输入"beijing"


"What is the name of your State or Province?",输入无特殊要求,例如输入"beijing"


"What is the two-letter country code for this unit?",输入无特殊要求,例如输入"cn"


"Enter key password for <client_key_pair_1> (RETURN if same as keystore password):",输入无特殊要求,例如直接回车使用和keystore相同的秘钥
```


step2:导出客户端证书


```
sudo keytool -export -alias client_key_pair_1 -validity 365 -file /usr/local/crm_keystore/client/client_key_1.crt -keystore /usr/local/crm_keystore/client/carfinance.crm.client.keystore
```


需要输入keystore密码,输入"123456"


step3:用服务端证书生成客户端信任证书库(服务端证书的生成参考前面的server端部分,这个步骤要在服务端生成证书完成之后进行)


```
sudo keytool -import -alias server_crt -validity 365 -file /usr/local/crm_keystore/server/server_key_1.crt -keystore /usr/local/crm_keystore/client/carfinance.crm.client.truststore
```


注意这个步骤要为truststore设置密码,例如设为"654321"


## 验证


step1:用修改过配置后的tomcat启动carfinance-crm-httpsdemo-server模块


step2:使用客户端调用服务端接口


运行carfinance-crm-httpsdemo-client模块的src/test/java目录下的UnilateralHttpsClientTest的testGet()和testPost()方法分别测试https的GET请求和https的POST请求,请求失败,因为没有提供服务端信任的客户端证书给服务端


运行carfinance-crm-httpsdemo-client模块的src/test/java目录下的MutualHttpsClientTest的testGet()和testPost()方法分别测试https的GET请求和https的POST请求,请求成功


# 参考


[http client官网](http://hc.apache.org/)


[troubleshoot: httpclient向HTTPS发送数据建立SSL连接时的异常](http://zhuyuehua.iteye.com/blog/1102347)


[troubleshoot: 单向认证中信任自签名证书](http://stackoverflow.com/questions/1828775/how-to-handle-invalid-ssl-certificates-with-apache-httpclient)


[java tomcat 搭建SSL双向认证以及httpclient代码](http://ian.wang/118.htm)


[java tomcat 搭建SSL双向认证以及httpclient代码](http://yuur369.iteye.com/blog/1728058)


[HttpClient如何访问需要提交客户端证书的SSL服务](http://blog.csdn.net/wanglha/article/details/49272551)


[keystore type的使用](http://stackoverflow.com/questions/11536848/keystore-type-which-one-to-use)



















飞鸟jiang
关注
Django云服务器配置Nginx站点SSL证书HTTPS协议
Mr数据杨
02-10 1万+
如果自己已经能独立使用 Python 的 Django 框架完成一个项目了,现在需要进行部署服务以及相关项目分发的二级域名了。不过至于什么是 http 和 https 这里不做科普,不懂的请找度娘。一句话开启 https 协议为了解决这个隐患和保证数据的传输安全,HTTPS协议(安全套接字层超文本传输协议)诞生了。它在 http 的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信数据加密。
服务器证书类型有哪些
蔚可云的博客
09-09 1877
安装在网站上的服务器证书还有另一称谓就是SSL证书,我们在购买这一证书的时候,关键的一点是要明确服务器证书类型,才能为网站挑选到适合的SSL证书。那么,服务器证书类型有哪些?今天小编就来为各位介绍下。 服务器证书类型有哪些 服务器证书分为域名型证书、组织型证书、扩展型证书三种,该如何选择往往取决于网站的应用场景。 常用的SSL证书主要是域名型证书DV,分为三种:单域名证书、多域名证书、通配符证书。从字面意思我们也能大概理解单域名证书就是只针对用户只有一个域名的情况,一个域名对应一个证书。通常用于比
生成一个Server HTTPS证书
chuanzuiv86094的博客
06-25 115
apt-getinstallopenssl opensslgenrsa-des3-outserver.key1024 opensslreq-new-keyserver.key-outserver.csr opensslrsa-inserver.key-out...
https配置
最新发布
qq_63926306的博客
07-27 722
ssl相关概念和nginx https配置操作。
鸿蒙配置生产证书打包准备
qq_36859035的博客
07-25 279
2、新增cer证书https://developer.huawei.com/consumer/cn/service/josp/agc/index.html#/harmonyOSDevPlatform/9249519184596237889。3、证书名称:xxxx;证书请求文件:选择IDE中生成的CSR文件(生成CSR文件详见步骤1)7、完成P7文件Profile的新增操作之后,点击下载到本地。4、cer证书新增成功后,下载证书到本地。6、配置P7文件Profile的信息。5、新增Profile文件。
自己生成一个https证书
u011649691的博客
07-04 1255
生成一个 HTTPS 证书和密钥可以通过使用 OpenSSL 工具来完成。以下是生成自签名证书和密钥的详细步骤。
史上最全的Https讲解
苦也不苦
10-31 6476
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言Https是什么?什么是SSL重要的相关概念1.对称加密2.非对称加密3.消息摘要4. 数字签名5.数字证书总结 前言 在平时工作和日常生活中, “https=安全”这样的观点在大多数人的思维中根深蒂固,甚至很多人根本不认为自己会被攻击。那这个观点到底对不对呢?那么请带的这
Windows Server 2008 R2 下配置证书服务器HTTPS的图文教程
09-30
总的来说,配置Windows Server 2008 R2的证书服务器HTTPS服务是一个涉及多个步骤的过程,包括安装证书服务角色、创建自签名证书以及在IIS中配置HTTPS绑定。遵循上述指南,你可以为你的服务器提供安全的HTTPS连接,...
Jetty9 配置使用HTTPS证书
05-05
正确配置HTTPS证书可以极大提高Web服务的安全性,保护传输数据不被第三方截获和篡改,是生产环境中保证通信安全的重要步骤。由于此过程中可能遇到各种问题,建议在实际操作前仔细阅读相关的文档和指南,遇到问题时...
详解如何给Tomcat配置Https/ssl证书
09-30
Tomcat,作为一个流行的Java Servlet容器,也提供了配置HTTPS和SSL证书的能力,以确保通过其服务的数据传输是加密且安全的。本文将详细介绍如何为Tomcat配置HTTPS和SSL证书。 首先,让我们了解SSL证书的基本概念。...
IOS开发 支持https请求以及ssl证书配置详解
08-31
本文将详细讲解如何在iOS应用中支持HTTPS请求以及SSL证书配置。 首先,我们来看一下证书的准备步骤: 1. **证书转换**:通常,服务器管理员会提供一个.crt格式的SSL证书。你可以使用`openssl`工具将其转换为.cer...
HTTP/HTTPS服务器
qq_43717446的博客
08-26 882
简单的http服务器,后面会不定时补充修改信息
Https服务器
jeromezmzx007的博客
05-31 583
Https服务器 第一步、首先生成一对证书。 你需要使用到openssl命令,所以请确认系统已经安装过此包 RHEL6中在/etc/pki/tls/certs 目录有个脚本可以帮助我们简化证书生成的过程,所以 我们首先切换到此目录 [root@rhel6u3-7 ~]# cd /etc/pki/tls/certs/ [root@rhel6u3-7 certs]# make server.key ...
如何搭建一个 HTTPS 服务端
洋洋
04-17 2604
关于 HTTPS 的基本原理大家都已经不再陌生,今天和大家说说如何搭建一个支持 HTTPS 的服务端。 服务端的 HTTPS HTTPS 已经几乎成为了当前互联网推荐的通信方式,它能最大化保证信息传输的安全,从去年苹果的强制 HTTPS ,到如今各大网站都支持了 HTTPS。它会越来越普及。 之前写过几篇关于 HTTPS 原理的文章,有用户留言希望了解一些如何在服务端搭建 HTT
部署HTTPS服务器
m0_48454948的博客
12-21 95
部署HTTPS服务器
Nginx 配置 HTTPS 服务器
littlekard的博客
03-30 96
https://jelly.jd.com/article/6006b1045b6c6a01506c87b5
浅述HTTPS服务器搭建
暖风吹起云之博客
03-23 772
1.https介绍 2.https传输原理 3.CA机构介绍 4.https服务的搭建 https产生的原因: 支付密码 crt ,安全 ,密码安全
https网站是服务器查询吗,自动的HTTPS服务器HTTPS-PORTAL
weixin_39941262的博客
08-10 458
HTTPS-PORTAL是一个完全自动化的HTTPS服务器,由 Nginx,Let's Encrypt和 Docker提供支持,用它可以运行任何基于HTTPS的Web App,注意:只需一个额外的配置行。该服务器能获取SSL证书,并自动从Let's Encrypt更新。HTTPS-PORTAL作为Docker镜像提供,要使用它,需要一台Linux机器(本地或远程主机):1. 有80和443端口可用...
服务器部署https过程(使用阿里云个人测试版证书,包括域名+解析)
qq_60891453的博客
06-24 1785
http:超文本传输协议,端口80,明文传输https:超文本传输安全协议,端口443,在http的基础上添加ssl加密协议,对明文加密。同时,客服端访问服务器时,服务器向客服端发送证书(通过CA机构签发的证书),客服端验证服务器身份后,才能进行正常通信。ssl:一种网络安全协议,通过使用公开密钥和对称密钥技术以达到信息保密。通过公共网络可以访问搭建的服务器(公网ip)购买域名,进行持有者身份认证,激活域名开启域名解析服务(将域名与公网ip地址关联起来)
IIS服务器证书导入与HTTPS配置教程
生产环境中,不应使用自签名证书,因为浏览器可能会警告用户证书不受信任。 - 安装完成后,建议测试网站的HTTPS连接,以确认证书已正确配置并能正常工作。可以使用在线工具或浏览器的开发者工具检查证书详情。 - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值