alias标签 tomcat_Tomcat 自定义签名证书生成与部署

最新推荐文章于 2022-04-27 12:56:57 发布
最新推荐文章于 2022-04-27 12:56:57 发布
阅读量387 收藏
点赞数
文章标签: alias标签 tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42524401/article/details/113558268
版权
本文详细介绍了如何在Tomcat中配置SSL,包括单向认证、JKS与PKCS12证书互转、APR连接器的SSL配置以及双向认证的实现。内容涵盖证书的生成、导入、导出以及Tomcat Connector的相关配置,适用于提升服务器的安全性和性能。
摘要由CSDN通过智能技术生成

参考博客

1.SSL单向认证

1.关于JKS证书

生成CA签名证书keystore

keytool -genkey -alias twt_server -keyalg RSA -keystore twt_server.jks -validity 3600 -storepass 123456

您的名字与姓氏是什么?  [Unknown]:

您的组织单位名称是什么?  [Unknown]:  itian

您的组织名称是什么?  [Unknown]:  itian

您所在的城市或区域名称是什么?  [Unknown]:  北京

您所在的省/市/自治区名称是什么?  [Unknown]:  海淀

该单位的双字母国家/地区代码是什么?  [Unknown]:  cn

CN=zhang, OU=zhang, O=zhang, L=xian, ST=shanxi, C=cn是否正确?  [否]:  y

输入的密钥口令    (如果和密钥库口令相同, 按回车):

然后生成cer证书

keytool -export -alias ca_server  -file twt_server.cer -keystore twt_server.jks -storepass 123456

然后部署

disableUploadTimeout="true"

enableLookups="true"

keystoreFile="conf/CA/twt_server.jks"

keystorePass="123456"

maxSpareThreads="75"

maxThreads="200"

minSpareThreads="5"

port="443"

protocol="org.apache.coyote.http11.Http11NioProtocol"

scheme="https"

secure="true"

sslProtocol="TLSv1.2"

/>

或者我们新增一个新的服务

connectionTimeout="20000"

port="443"

redirectPort="8443"

maxPostSize="2048" #post请求最大数量,这里是2M,如果是0,则没有限制

maxThreads="200"

executor="MySSLServiceTomcatThreadPool" #使用连接池

protocol="org.apache.coyote.http11.Http11NioProtocol"

scheme="https"

secure="true"

SSLEnabled="true"

keystoreType="JKS" #证书类型

keystoreFile="conf/CA/twt_server.jks"

keystorePass="123456"

clientAuth="false"

sslProtocol="TLSv1.2"

/>

这样访问,通过相应的url,如‍‍‍‍https就能访问了.

2.关于部署PKCS12证书

这里还有个问题,我们生成的证书实际上是JKS类型的证书,如果我们使用PKCS12证书如何部署呢,PKCS12是互联网标准,如果使用PKCS12,那么java可以更好地与其他语言通信。

JKS与PKCS12互相导入

p12(pfx) -> jks

keytool -importkeystore -srckeystore keystore.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore keystore.jks

jks -> p12(pfx)

keytool -importkeystore -srckeystore keystore.jks -srcstoretype JKS

-deststoretype PKCS12 -destkeystore keystore.p12

从jks里面导出cert

keytool -export -alias cert0001 -keystore trust.jks -storepass 123456 -file cert0001.cer

将cert导入jks

keytool -import -v -alias cert001 -file cert001.cer -keystore trust.jks -storepass 123456 -noprompt

那么,我们可以配置如下

protocol="org.apache.coyote.http11.Http11NioProtocol"

port="8443" maxThreads="200"

scheme="https" #使用https协议

secure="true" #使用安全链接

SSLEnabled="true"

keystoreFile="conf/CA/keystore.p12" #指定PKCS12 keystore的位置

keystoreType="PKCS12" #证书类型修改为PKCS12即可

keystorePass="123456"

clientAuth="false" #不去校验客户端

sslProtocol="TLS"/>

2.关于APR部署CA证书

APR可以提升Tomcat性能,那么APR的Connector如何配置SSL呢

protocol="HTTP/1.1"

port="443"

maxHttpHeaderSize="8192"

maxThreads="150"

enableLookups="false"

disableUploadTimeout="true"

acceptCount="100"

scheme="https"

secure="true"

SSLEnabled="true"

SSLCertificateFile="conf/CA/rsa-private-key.pem"

SSLCertificateKeyFile="conf/CA/self-signed-cert.crt" />

注意,APR的CA证书需要通过openSSL生成

openssl genrsa -out rsa-private-key.pem 1024

openssl req -new -x509 -nodes -sha1 -days 365 -key rsa-private-key.pem -out self-signed-cert.crt

2.SSL双向认证

1.生成服务器证书库(为了测试,我把有效期改为1天)

keytool -genkey -alias ca_server -keyalg RSA -keystore ca_server.jks -validity 1 -storepass 123456

注意:第一项提示姓名与姓氏时请输入你的 域名

1.生成客户端证书库(为了测试,我把有效期改为1天)

keytool -genkey -alias ca_client -keyalg RSA -storetype PKCS12 -keystore ca_client.pfx -validity 1 -storepass 123456

客户端(客户端需要使用PKCS12的密钥,因此这里我们生成pfx密钥证书)

2.将客户端证书部分添加到服务端证书库(让服务器信任客户端)

2.1.pkcs12不能直接导入服务器证书库,需要导出cer证书,将证书导入到证书库中

keytool -export -alias ca_client -keystore ca_client.pfx -storetype PKCS12 -storepass 123456 -rfc -file ca_client.cer

2.2然后将证书导入到服务端证书库中

keytool -import -v -alias ca_client -file ca_client.cer -keystore ca_server.jks

3.配置Connector

在这里,我们为了让服务端证书库和认证库不要使用同一个keystore,我们把ca_server.jks复制一份起名为ca_trust.jks

此时配置修改如下

acceptCount="100"

disableUploadTimeout="true"

enableLookups="true"

maxSpareThreads="75"

maxThreads="200"

minSpareThreads="5"

port="8848"

protocol="org.apache.coyote.http11.Http11NioProtocol"

scheme="https"

secure="true"

clientAuth="true" #设置为true,否则不回去验证客户端

sslProtocol="TLSv1.2"

clientAuth="true"

keystoreType="JKS"

keystoreFile="conf/auth/ca_server.jks"

keystorePass="123456"

truststoreType="JKS"

truststoreFile="conf/auth/ca_trust.jks"

truststorePass="123456"

/>

4.使用浏览器访问出现限制

然后我们启动Tomcat,使用浏览器访问,发现不能访问。说明我们的设置已经生效了,那么想让浏览器能访问该如何做呢?

首先,我们需要安装我们的pfx证书,双击安装,存储区域位置请选择【个人】,否则浏览器依然无法访问!

然后我们访问浏览器,就会出现证书选择提示,选择确定,便能浏览网页了。

296a6a3b9e0e7287efb764a2d2311f24.png

5.Android双向认证

双向认证,以Android为例子,Android支持PKCS12,BKS,AndroidCAStore,AndroidKeyStore

Name

Supported (API Levels)

AndroidCAStore

14+(推荐)

AndroidKeyStore

18+ (推荐)

BCPKCS12

1–8 (不建议考虑)

BKS

1+

BouncyCastle

1+

PKCS12

1+ (推荐,PKCS12是互联网标准)

PKCS12-DEF

1–8(不建议考虑)

我们这里用网上的代码,BKS做例子,当然,pkcs12可以参考 android https通过加载pfx证书获取数据

public void setCertificates(InputStream... certificates)

{    try

{

CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");

KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());

keyStore.load(null);        int index = 0;        for (InputStream certificate : certificates)

{

String certificateAlias = Integer.toString(index++);

keyStore.setCertificateEntry(certificateAlias, certificateFactory.generateCertificate(certificate));            try

{                if (certificate != null)

certificate.close();

} catch (IOException e)

{

}

}

SSLContext sslContext = SSLContext.getInstance("TLS");

TrustManagerFactory trustManagerFactory = TrustManagerFactory.

getInstance(TrustManagerFactory.getDefaultAlgorithm());

trustManagerFactory.init(keyStore);        //初始化keystore

KeyStore clientKeyStore = KeyStore.getInstance(KeyStore.getDefaultType());

clientKeyStore.load(mContext.getAssets().open("ca_client.bks"), "123456".toCharArray());

KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());

keyManagerFactory.init(clientKeyStore, "123456".toCharArray());

sslContext.init(keyManagerFactory.getKeyManagers(), trustManagerFactory.getTrustManagers(), new SecureRandom());

HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory());

HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() {

@Override

public boolean verify(String hostname, SSLSession sslsession) {

if("localhost".equals(hostname)){

return true;

} else {

return false;

}

}

});

} catch (Exception e)

{

e.printStackTrace();

}

}

读取cer证书

CertificateFactory certificatefactory = CertificateFactory

.getInstance("X.509");

FileInputStream bais = new FileInputStream("srca.cer");

X509Certificate Cert = (X509Certificate) certificatefactory

.generateCertificate(bais);

bais.close();

System.out.println("版本号 " + Cert.getVersion());

System.out.println("序列号 " + Cert.getSerialNumber().toString(16));

System.out.println("全名 " + Cert.getSubjectDN());

System.out.println("签发者全名n" + Cert.getIssuerDN());

System.out.println("有效期起始日 " + Cert.getNotBefore());

System.out.println("有效期截至日 " + Cert.getNotAfter());

System.out.println("签名算法 " + Cert.getSigAlgName());

byte[] sig = Cert.getSignature();

System.out.println("签名:" + new BigInteger(sig).toString(16));

PublicKey pk = Cert.getPublicKey();

System.out.println("PublicKey:"

+ Base64.getEncoder().encodeToString(pk.getEncoded()));

如果从密钥库读取

String pass="080302";

String alias="mykey";

String name=".keystore";

FileInputStream in=new FileInputStream(name);

KeyStore ks=KeyStore.getInstance("JKS");

ks.load(in,pass.toCharArray());

Certificate c=ks.getCertificate(alias);

in.close();

System.out.println(c.toString( ));

PHP部分参阅

坎离七
关注
alias标签 tomcat_Tomcat虚拟路径 .
weixin_34702885的博客
12-24 268
tomcat安装好后,只要把你的web项目copy到%TOMCAT_HOME%webapp下面就可以是使用啦!!其实还有种方法就是设定虚拟目录,即把项目的目录映射到tomcat中。这样做即可以不用重复的部署,节约时间,而且给开发人员带来方便。方法如下:1,找到%TOMCAT_HOME%/conf/server.xml,(即tomcat的安装目录下面相关的文件)打开此xml文件,在 之间加入如下...
linux下Tomcat配置SSL证书
qq_45019814的博客
05-20 1310
首先下载apr #tar xvzf apr-1.5.2.tar.gz // 解压apr-1.5.2.tar.gz #cd apr-1.5.2 // 进入apr-1.5.2目录 #./configure –prefix=/opt/apr // 指定安装到/opt/apr目录 make&&make install (注:tomcat配置https访问,需要制作证书。) 在tomcat目录下创建sslkey文件夹,用来保存证书 制作证书,命令: keytool -genkey -v -al
Tomcat配置多域名 Alias
热门推荐
niyabuxing的专栏
04-14 1万+
  在Tomcat配置多域名,目的是和apache相对应,实现多域名访问。 使用 < Alias></ Alias>,务必注意,使用的是首字母大写。 我刚开配置使用小写,如果host的 name=“localhost”,然后把所有域名添加到alias中,可以进行正常访问,后来把houst的name改成了域名,就不能访问,弄了半天原来是大小写的问题。正确配置如下:在默认的ho...
alias标签 tomcat_什么是keyAlias =“ aaaa”?在tomcat server.xml文件中
weixin_29570673的博客
12-24 603
I have SSL certificate purchased and installed into tomcat. I created tomcat.keystore file which I include in server.xml file also put password but not able to understand keyAlias="aaa". If I put keyA...
tomcat 配置别名alias
m0_67403188的博客
04-27 615
server.xml --> 节点内部配置:
Tomcat服务器配置https双向认证(使用keytool生成证书
红叶岭谷的博客
04-20 941
Tomcat服务器配置https双向认证(使用keytool生成证书) 原文:http://www.hangge.com/blog/cache/detail_992.html 一,HTTPS原理 二,双向认证实现步骤1 - 证书生成 三,双向认证实现步骤2 - 证书的使用 HTTPS原理 1,HTTP、HTTPS、SSL、TLS介绍与相互关系 (1)HTTP:平时...
Tomcat默认页面修改
看清所以看轻
01-07 2115
一、 Tomcat介绍 Tomcat服务器是一个免费的开放源代码的web应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是多的场合下被普遍使用,是开发和调试jsp程序的首选 可以这样认为,当一台服务器配置好apache服务器以后,可以利用apache服务器来响应我们的html页面的访问请求,而tomcat是 apahce 服务器的扩展,当你运行tomcat的时候实际上是作为一个apa...
Apache Tomcat SSL配置
Bloodwolf的专栏
04-16 1656
ApacheTomcat SSL配置 1     创建OpenSSL自签名证书 1.1    概述 本节简单地展示了SSL的实现原理和证书在整个SSL过程中扮演的角色。   普通的WEB以非加密的形式传输数据。这意味着任何人都能够通过嗅探器窥测到所有的数据。显然,这是一个问题,特别是对安全和隐私有高要求的数据,例如:信用卡数据和银行事务数据。安全套接层用于加密WEB服务器和WEB客户端(
Tomcat虚拟主机配置与管理
# 1. 介绍 ## 1.1 什么是虚拟主机 虚拟主机是指在一台服务器上通过软件的方式,将一个物理服务器划分为多个独立的虚拟服务器,每个虚拟服务器拥有独立的操作...Tomcat支持通过虚拟主机的方式来实现多个网站在同一台
tomcat部署多个项目,通过不同域名解析访问不同的网站
03-13
绝对成功,自己要用到的环境,千方百计寻找总结出的 亲测有效!
alias标签 tomcat_安全检查中...
weixin_39583751的博客
12-24 68
+((!+[]+(!![])+!![]+!![]+!![]+!![]+!![]+!![]+!![]+[])+(!+[]+(!![])-[])+(!+[]-(!![]))+(!+[]+(!![])+!![]+!![])+(+!![])+(!+[]+(!![])+!![]+!![]+!![]+!![]+!![]+!![]+!![])+(!+[]+(!![])+!![]+!![]+!![]+!![]+!...
tomcat服务器配置多个项目
weixin_30802273的博客
08-05 99
修改tomcat的server.xml文件中的Engine标签下的Host标签如下: <Host name="www.a.com" appBase="webapps" unpackWARs="true" autoDeploy="true" xmlValidation="false" xmlNamespaceAware="false"> <Alias>w...
tomcat中设置网站别名
weixin_33901641的博客
01-14 377
最近上新项目,老大给分配了个新域名,但是项目还是放在了原来的目录下,这就需要给tomcat配置网站别名。项目结构如下: [root@java webapps_bd]# pwd /opt/tomcat/webapps_bd [root@java webapps_bd]# ls api api.war ROOT ROOT.war 其中ROOT是原来的项目根目录,api是新项目。修改tomcat...
利用别名来处理快速处理tomcat的常用管理
maweiba163的专栏
04-18 594
1、快速访问server.xmlstart=/data0;export start t1="$start/apache-tomcat-6.0.35";export t1 alias t1="cd $t1";export t1 t1c="$t1/conf";export t1c alias t1cs="vi $t1c/server.xml";export t1cs2、快速关闭tomcatalias t
keytool生成证书_Tomcat下的SSL证书安装方法
weixin_39540704的博客
12-03 210
  一、证书导入:  导入中级证书: keytool -import -alias intermediate -keystore c:server.jks -chinasslcrt –file c:intermediate.crt 提示“认证已添加至keystore中”则导入成功。  导入交叉证书: keytool -import -alias cross -keystore c:server.j...
解决 keytool -genkey -alias tomcat -keyalg RSA错误
漫天雪_昆仑巅
11-10 1462
在给Tomcat启用Https的时候,启动出现错误, <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" cl
tomcat 生成key
俗民·不自扰
07-14 1059
tomcat配置https,启用8443端口, java命令生成证书 keytool -genkey -keyalg RSA -alias tomcatsso -dname "cn=localhost" -keystore
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值