VisualVm利用SSL连接JMX的方法

最新推荐文章于 2024-10-08 12:01:21 发布
最新推荐文章于 2024-10-08 12:01:21 发布
阅读量363 收藏
点赞数
文章标签: java
原文链接:https://segmentfault.com/a/1190000016661877
版权

原文地址

前一篇文章里提到在生产环境下应该使用SSL来创建JMX连接,本文就来讲一下具体怎么做。

前导知识

先了解一下Java客户端程序在创建SSL连接的一些相关的事情:

  1. Java client程序在做SSL连接的时候,会拉取server的证书,利用truststore去验证这个证书,如果不存在 or 证书过期 or 不是由可信CA签发,就意味着服务端不被信任,就不能连接。
  2. 如果在程序启动时没有特别指定使用哪个truststore(通过System Property javax.net.ssl.trustStore 指定),那么就会使用$JAVA_HOME/jre/lib/security/cacerts。如果指定了,就会使用指定的truststore + cacerts来验证。
  3. cacerts存放了JDK信任的CA证书(含有public key),它里面预先已经存放了已知的权威CA证书。你可以通过keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts看到(让你输密码的时候直接回车就行了)

以上过程被称为server authentication,也就是说client验证server是否可信,server authentication是最常见的,https就是这种模式。

不过在用SSL连接JMX的时候,还要做client authentication,即server验证client是否可信。原理和上面提到的一样,只不过变成server用自己的truststore里验证client的证书是否可信。

第一步:制作keystore和truststore

上面提到的证书主要保存了一个public key,SSL是一个非对称加密协议,因此还有一个对应的private key,在java里private key和private key存放在keystore里。

下面我们来制作visualvm(client)和java app(server)的keystore和truststore。

先讲大致流程,然后再给出命令:

  1. 生成visualvm的keystore,导出cert,把cert导入到java-app的truststore里
  2. 生成java-app的keystore,导出cert,把cert导入到visualvm的truststore里

具体命令:

  1. 生成visualvm的keystore

     keytool -genkeypair \
   -alias visualvm \
   -keyalg RSA \
   -validity 365 \
   -storetype pkcs12 \
   -keystore visualvm.keystore \
   -storepass <visualvm keystore的密码> \
   -keypass <同visualvm keystore的密码> \
   -dname "CN=<姓名>, OU=<组织下属单位>, O=<组织名称>, L=<城市>, S=<省份>, C=<国家2字母>"

  2. 导出visualvm的cert

    keytool -exportcert \
  -alias visualvm \
  -storetype pkcs12 \
  -keystore visualvm.keystore \
  -file visualvm.cer \
  -storepass <visualvm keystore的密码>

  3. 把visualvm的cert导入到java-app的truststore里,实际上就是生成了一个truststore

    keytool -importcert \
  -alias visualvm \
  -file visualvm.cer \
  -keystore java-app.truststore \
  -storepass <java-app truststore的密码> \
  -noprompt

  4. 生成java-app的keystore

     keytool -genkeypair \
   -alias java-app \
   -keyalg RSA \
   -validity 365 \
   -storetype pkcs12 \
   -keystore java-app.keystore \
   -storepass <java-app keystore的密码> \
   -keypass <同java-app keystore的密码> \
   -dname "CN=<姓名>, OU=<组织下属单位>, O=<组织名称>, L=<城市>, S=<省份>, C=<国家2字母>"

  5. 导出java-app的cert

    keytool -exportcert \
  -alias java-app \
  -storetype pkcs12 \
  -keystore java-app.keystore \
  -file java-app.cer \
  -storepass <java-app keystore的密码>

  6. 把java-app的cert导入到visualvm的truststore里

    keytool -importcert 
  -alias java-app \
  -file java-app.cer \
  -keystore visualvm.truststore \
  -storepass <visualvm truststore的密码> \
  -noprompt

所以最终得到的文件是这么几个:

  1. visualvm.keystore,包含visualvm的public key和private key
  2. visualvm.truststore,包含java-app cert
  3. java-app.keystore,包含java-app的public key和private key
  4. java-app.truststore,包含visualvm cert

第二步:启动Tomcat

我们还是用Tomcat做实验,给CATALINA_OPTS添加几个参数像下面这样,因为参数比较多,所以我们在$TOMCAT/bin下添加一个setenv.sh的文件(记得加上可执行权限):

CATALINA_OPTS="-Dcom.sun.management.jmxremote"
CATALINA_OPTS="$CATALINA_OPTS -Dcom.sun.management.jmxremote.port=1100"
CATALINA_OPTS="$CATALINA_OPTS -Dcom.sun.management.jmxremote.rmi.port=1100"
CATALINA_OPTS="$CATALINA_OPTS -Djava.rmi.server.hostname=<host or ip>"
CATALINA_OPTS="$CATALINA_OPTS -Dcom.sun.management.jmxremote.authenticate=false"
# 以下和启用SSL有关
CATALINA_OPTS="$CATALINA_OPTS -Dcom.sun.management.jmxremote.ssl=true"
CATALINA_OPTS="$CATALINA_OPTS -Dcom.sun.management.jmxremote.registry.ssl=true"
CATALINA_OPTS="$CATALINA_OPTS -Dcom.sun.management.jmxremote.ssl.need.client.auth=true"
CATALINA_OPTS="$CATALINA_OPTS -Djavax.net.ssl.keyStore=<path to java-app.keystore>"
CATALINA_OPTS="$CATALINA_OPTS -Djavax.net.ssl.keyStorePassword=<java-app.keystore的密码>"
CATALINA_OPTS="$CATALINA_OPTS -Djavax.net.ssl.trustStore=<path to java-app.truststore>"
CATALINA_OPTS="$CATALINA_OPTS -Djavax.net.ssl.trustStorePassword=<java-app.truststore的密码>"

然后$TOMCAT/bin/startup.sh

第三步:启动visualvm

jvisualvm -J-Djavax.net.ssl.keyStore=<path to visualvm.keystore> \
  -J-Djavax.net.ssl.keyStorePassword=<visualvm.keystore的密码> \
  -J-Djavax.net.ssl.trustStore=<path to visualvm.truststore> \
  -J-Djavax.net.ssl.trustStorePassword=<visualvm.truststore的密码>

你可以不加参数启动jvisualvm,看看下一步创建JMX连接是否成功,如果配置正确应该是不会成功的。

第四步:创建JMX连接

加了上述参数启动jvisualvm后,和利用VisualVm和JMX远程监控Java进程里提到的步骤一样创建JMX连接,只不过在创建JMX连接的时候不要勾选【不要求SSL连接】(不过经实测,勾不勾选都能连接成功的)。

参考资料

我的博客即将同步至腾讯云+社区,邀请大家一同入驻:https://cloud.tencent.com/dev...

weixin_34043301
关注
利用VisualVmJMX远程监控Java进程
qiyue683209的博客
10-12 4726
Java 6开始,Java程序启动时都会在JVM内部启动一个JMX agent,JMX agent会启动一个MBean server组件,把MBeans(Java平台标准的MBean + 你自己创建的MBean)注册到它里面,然后暴露给JMX client管理。简单来说就是每个Java程序都可以通过JMX来被JMX client管理,而且这一切都是自动发生的。而VisualVm就是一个JMX C...
java jmx连接_java – Tomcat JMX连接 – 身份验证失败
weixin_29288653的博客
02-16 645
我在设置Tomcat for JMX时遇到了一些问题.我添加了以下属性CATALINA_OPTS="-Dcom.sun.management.jmxremote.port=18070 -Dcom.sun.management.jmxremote.password.file=$CATALINA_BASE/conf/jmxremote.password -Dcom.sun.mana...
VisualVMSSL+JMX
Chihay的博客
09-07 541
JMX虽然可以使用密码来验证用户,但还是不够安全,只要获取到密码,在任何机器上都可以连接JVM。在生产环境这是一种危险的操作,所以需要使用到SSLSSL需要提供证书才能访问,安全性较高。 第一步:制作keystore 和truststore 上述提到的证书,主要保存了public key,由于SSL是一个非对称加密协议,因此还有一个private key,在Java里,public key、private key是保存在keystore里面的。 下面主要讲下client 和 server..
IDEA中的JMX使用SSL方式,TOMCAT中的SSL要关闭
最新发布
kingwin28的博客
10-08 303
由于IDEA中的JMX一定要打开,而项目中要使用SSL方式,如果在TOMCAT中使用JMX+SSL,在IDEA启动会失败。 因此,需要关闭TOMCAT中的JMX,在IDEA中添加SSL
tomcat jmx ssl 配置以及使用jconsole连接
weixin_43370429的博客
04-11 1256
tomcat jmx ssl 配置 测试tomcat版本 9.0.62 先生成服务端keystore和证书 keytool -genkeypair -keystore serverkeystore -alias serverkey -validity 180 -storepass serverpass -keypass serverpass keytool -exportcert -keystore serverkeystore -alias serverkey -storepass serverpass
jconsole远程监控认证,java远程监控,jmx监控应用,jmx ssl配置,jconsole ssl连接远程应用
qq_41633199的博客
10-15 1842
知识普及 jmx JMXjava Management Extensions)是一个Java平台的管理和监控接口。任何程序,只要按JMX规范访问这个接口,就可以获取所有管理与监控信息,jconsole与Java VisualVM等常见监测工具都是基于jmxJMX不但可以用于管理JVM,还可以管理应用程序自身。 JMX把所有被管理的资源都称为MBean(Managed Bean),MBean全部由MBeanServer管理,如果要访问MBean,可以通过MBeanServer对外提供的访问接口,例如RMI
JMX远程配置
qq_39042827的博客
08-30 3004
JMX参数配置 配置 说明 参数 -Dcom.sun.management.jmxremote.authenticate 开启鉴权 (鉴权) false/ture -Dcom.sun.management.jmxremote.ssl 启用ssl连接 false/ture -Dcom.sun.management.jmxremote.local.only 是否只接受本地连接 false/ture -Dcom.sun.management.jmxremote.host jmx绑定指定
tomcat开启远程jmx连接方式
12-19
- 这些参数分别表示JMX连接端口、是否启用SSL和是否需要认证。 2. **重启服务**: - 在系统服务中重新启动对应的Tomcat服务(例如,“Apache Tomcat 6.0 Tomcat6”)。 3. **验证配置**: - 检查操作系统是否...
jvisualvm远程连接Tomcat
EricZeng
09-20 567
jvisualvm远程连接有两种方式:jmx和jstatd。 JMX 需要在服务器上修改Tomcat的启动参数,打开$TOMCAT_HOME/bin/catalina.sh,在文件中添加如下参数: JAVA_OPTS="$JAVA_OPTS -Dcom.sun.management.jmxremote -Dcom.sun.management.jmxremote.port=8777 -Dcom.s...
VisualVM使用方法
10-11
例如,需要设置JMX远程连接的端口号、是否启用SSL连接、是否启用用户鉴权等。此外,还需要在远程主机上启动jstatd服务,以便VisualVM可以连接到远程JMX服务器并收集数据。 VisualVM提供了生成堆转储(Heap Dump)的...
生成SSL的KEY
weixin_38679007的博客
04-18 1832
keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600
Jmx协议远程连接java服务器
无效的博客
09-13 817
连接--》新建连接--》远程连接--》输入hostname:port,如果启用了用户验证,还要输入用户名、口令--》连接--》选择“不安全的连接”--》操作完成。通常用jdk自带的jconsole,或者想要功能强大点的使用visualVMjava服务端的配置完成了,可以启动客户端连接试试了。需要java服务器在启动的时候加上以下参数。注意:本例里,我用的是jdk17。为了安全考虑,可以加上验证。用jconsole举例。
SSL请求trustStore的两种注册方式
fdyufgf的博客
11-08 6705
SSL请求trustStore的两种注册方式
操作Cassandra(8)-安全性
nangongyanya的专栏
01-06 2862
安全性 Cassandra提供的安全功能有三个主要组件:: 用于客户端和节点间通信的TLS / SSL加密客户端身份验证授权 TLS / SSL加密 Cassandra在客户端机器和数据库集群之间以及集群中的节点之间提供安全通信。启用加密可确保正在运行的数据不会泄露,并且安全传输。客户端到节点和节点到节点加密的选项单独管理,可以独立配置。 当启用加密时,将使用支持的协议和密码套件
keyStore和truststore区别
热门推荐
chenzanlong123的专栏
09-17 3万+
一个web应用如果需要提供以https的方式访问的服务的话,我们需要一个数字证书,这个证书的配置是在apache的配置文件或者其他web容器的配置文件中进行配置的。当然这个可以保存在keystore中。 我们自己的应用中通常所说的keystore或者truststore主要是针对于应用本身的需求来的。 keystore和truststore从其文件格式来看其实是一个东西,只是为了方便管理将其分
云服务器springboot jar项目开启jmx remote监控-解决无法连接的问题
weixin_43118901的博客
05-06 3975
前言 服务器上跑了一个springboot项目,尝试开启jmx远程监控,观察下jvm的情况。按照网上的一些文章去添加了参数,发现无法连接远程jmx,如下所示 经过一番排查,终于解决问题。 服务器端jar包启动命令示例 java \ -Dcom.sun.management.jmxremote \ -Dcom.sun.management.jmxremote.local.only=false \ -Dcom.sun.management.jmxremote.authenticate=false
visualvm远程连接
10-18
要使用 VisualVM 远程连接,需要在远程服务器上启动一个 JMX 代理。具体步骤如下: 1. 在远程服务器上启动应用程序,并在启动时指定以下 JVM 参数: ``` -Dcom.sun.management.jmxremote.port= -Dcom.sun....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值