tomcat安全加固指南--SSL通信原理及Tomcat SSL双向验证配置

最新推荐文章于 2023-02-11 18:31:30 发布
最新推荐文章于 2023-02-11 18:31:30 发布
阅读量2.1w 收藏
点赞数
分类专栏: 网络安全
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/u012921921/article/details/51946187
版权

tomcat安全加固指南--SSL通信原理及Tomcat SSL双向验证配置


改证书文件存在于java.home\lib\security目录下,是Java系统的CA证书仓库  



第一步:为服务器生成证书
keytool -genkey -v -alias tomcat -keyalg RSA -keystore server -keysize 2048 -dname "CN=127.0.0.1,OU=puerysoft,O=puerysoft,L=wuhan,ST=wuhan,C=CN" -validity 3650 -storepass boco -keypass boco

第二步:为客户端生成证书
keytool -genkey -v -alias client -keyalg RSA -storetype PKCS12 -keystore client.p12 -keysize 2048 -dname "CN=127.0.0.1,OU=puerysoft,O=puerysoft,L=wuhan,ST=wuhan,C=CN" -validity 3650 -storepass boco -keypass boco


把客户端证书导出为一个单独的CER文件
keytool -export -alias client -keystore  client.p12 -storetype PKCS12 -storepass boco -rfc -file  client.cer


将该文件导入到服务器的证书库,添加为一个信任证书:
keytool -import -alias client -v -file client.cer -keystore server -storepass boco



第四步:配置Tomcat 服务器

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
    maxThreads="150" scheme="https"
    secure="true" clientAuth="true" sslProtocol="TLS"
        keystoreFile="conf/keystore/server" keystorePass="boco"
        truststoreFile="conf/keystore/server" truststorePass="boco"/>


第五步:导入客户端证书

如果设置了clientAuth="true",则需要强制验证客户端证书。双击client.p12即可将证书导入至IE:导入证书后,即可启动Tomcat,用IE进行访问

第六步: 导出服务器证书给客户端

方法1:

导出服务器证书给客户端用

keytool -export -alias tomcat -keystore server -file server.cer -storepass boco

 
方法2:

直接访问资源url,然后从浏览器中,下载证书.这样就脱离了服务器端的.也就是说不依赖服务段的密匙库.

将从浏览器中下载的证书命名为:server.cer


第七步:将导入server.cer,为客户端 创建定制密钥库

方法1:
server.cer来自于keystore导出.

keytool -import -noprompt -trustcacerts -alias clientInvokeServer -file server_web.cer -keystore client -storepass boco

方法2:

server.cer来自于浏览器导出.

keytool -import -noprompt -trustcacerts -alias clientInvokeServer -file server.cer -keystore D:/SSL/keystore/browserserver.keystore -storepass boco

第八步:测试

https://127.0.0.1:8443/
天秤座的架构师
关注
专栏目录
《网络安全自学教程》- Tomcat基线检查加固
wangyuxiang946的博客
07-09 7736
Tomcat安全配置规范,基线加固安全加固
tomcat加固
qq_38331780的博客
11-18 533
Tomcat服务默认启用了管理后台功能,使用该后台可直接上传 war 文件包对站点进行部署和管理。由于运维人员的疏忽,可能导致管理后台存在空口令或者弱口令的漏洞,使得黑客或者不法分子可以利用该漏洞直接上传 Webshell 脚本导致服务器沦陷。 通常 Tomcat 后台管理的 URL 地址为 http://iP:8080/manager/html/ 黑客通过猜解到的口令登录 Tomcat 管理后台后,可以上传 Webshell 脚本导致服务器被入侵。 CVE-2017-12617影响范围:Apache To
tomcat优化
weixin_33871366的博客
05-07 72
转载来自百衲本 tomcat是一个开源Web服务器,基于Tomcat的Web运行效率高,可以在一般的硬件平台上流畅运行,因此,颇受Web站长的青睐。不过,在默认配置下其存在一定的安全隐患,可被恶意攻击。以下是一些安全加固的方法: 版本安全 升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级。 服务降权 不要使用root用户启动tomcat,使用用普通用户启动Tomcat...
tomcat安全加固
weixin_30781107的博客
12-09 252
本文基于tomcat8.0.24 1、删除文档和示例程序 【操作目的】删除示例文档 【加固方法】删除webapps/docs、examples、manager、ROOT、host-manager 【是否实施】是 2、禁止列目录 【操作目的】防止直接访问目录时由于找不到默认页面而列出目录下的文件 【加固方法】打开web.xml,将<param-name>listings...
Tomcat加固
最新发布
qq_45174221的博客
02-11 543
本文章旨在说明如何尽可能地加强Tomcat服务器的安全性和隐私性。 免责声明:非专业人员请不要尝试在本文中的任何内容
Tomcat系统安全加固规范
12-14
Tomcat系统安全加固规范涵盖了账号管理、认证授权、日志配置、通信协议、设备其他安全要求等多个方面,旨在从多角度提高Tomcat系统的安全性和可靠性。遵循本规范,可以确保Tomcat系统的安全运行和数据保护,避免各种...
Tomcat系统加固规范V0.2.0.doc
09-06
Tomcat系统加固规范V0.2.0》是一份针对Tomcat服务器的安全加固指导文档,旨在提升Tomcat运行环境的安全性,防止未授权访问、账号滥用等安全风险。以下是该规范中的主要知识点: 1. **账号管理与认证授权**: - *...
Linux平台Tomcat安全加固.pdf
09-06
Tomcat提供了多种安全配置选项,例如,SSL/TLS加密、访问控制、日志管理等,以帮助管理员配置和管理Tomcat的安全性。 Linux平台Tomcat安全加固是一个复杂的过程,需要管理员具备丰富的安全知识和经验,以确保...
apache-tomcat-8.0.14-windows-x64
12-15
安全方面,Tomcat 8.0.14提供了一些安全特性,如用户认证和授权(通过`conf/tomcat-users.xml`配置),SSL/TLS支持以进行加密通信,以及对恶意请求的防护。然而,对于生产环境,强烈建议根据需求进一步配置加固...
Tomcat 安全加固
02-21
安全加固Tomcat是重灾区。所以整理下Tomcat安全加固。升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级.
tomcat安全加固手册.pdf
05-22
tomcat安全加固手册.pdf,总结了常用的tomcat安全加固方法,可以根据此文档完成tomcat安全加固
tomcat,https加密方式(jsse.openssl
08-17
tomcat,https加密方式(jsse.openssl),亲自测试方法可行,真实有效。
https原理及tomcat配置https方法
10-23
tomcat配置https方法、尽管很简单、但需要花功夫。https原理
TOMCAT 中间件安全加固
单核CPU的小朋友的博客
04-28 1951
TOMCAT 中间件安全加固 1、 tomcat中间件安装: yum install httpd* -y yum install tomcat* -y 然后就能看到系统中多出了个端口: 其中8005端口是管理口,8080是默认的tomcat页面 我们可以通过访问本地8080口来判断服务是否安装成功 其中下文会详细介绍如何更改tomcat的管理口和页面显示端口。 其中, Tomcat配置文件...
Tomcat安全加固--记一次救火经历
TenToEleven的博客
09-28 1551
-- “隐患险于明火,防范胜于救灾,责任重于泰山” 这篇文章中记录的事件发生在两年前,事件发生并处理后我在自己本地做了记录(本文中的主体内容都来源于这份两年前的记录),最近才在清理旧文件的时候翻了出来。之所以当时没有在博客中进行记录原因有二:第一,之前我太懒(是真的懒,懒到忘了自己博客早就已经注册过);第二,做了对应处理后,并没有完全的信心认为已经处理妥当。观望了这两年发现确实没再发生同样的事件...
Apache Tomcat 加固教程
allway2的博客
07-26 365
配置良好的Web应用程序将覆盖CATALINA_HOME/webapps/APP_NAME/WEB-INF/web.xml中的此默认设置,因此不会导致问题。如果您还使用Tomcat与其他Web服务器(如Apache)一起处理servlet/JSP请求,则需要允许该服务器访问端口8009,但通常可以限制在同一台机器上或至少在您的子网上访问.如果您在独立版本中运行Tomcat,则在${tomcat_home}/conf/server.xml中禁用端口8009。......
SSL+Tomcat配置及其原理
u011921490的专栏
05-17 490
SSL协议使用不对称加密技术实现双方之间信息的安全传递。可以实现信息传递的保密性、完整性,并且会话双方能鉴别对方身份。 与网站建立https连接时,浏览器与WEB SERVER之间要经过一个握手的过程来完成身份鉴定与密钥交换,建立安全连接。过程是: 1、用户浏览器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送到服务器 2、服务器将其SSL版本号、加密设置参
Tomcat6配置SSL双向认证详细教程
本文主要介绍了如何在Tomcat6中配置SSL双向认证,即客户端和服务器端都需要进行身份验证。为了实现这一目标,首先需要创建一个自签名的证书颁发机构(CA),然后为服务器生成证书,并将客户端也配置为信任该CA。 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

天秤座的架构师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值