https单向/双向认证及tomcat配置https方法

最新推荐文章于 2023-04-08 12:32:08 发布
最新推荐文章于 2023-04-08 12:32:08 发布
阅读量436 收藏 1
点赞数
分类专栏: http/https 文章标签: http https

转载:http://itindex.net/detail/49585-https-%E8%AE%A4%E8%AF%81-tomcat

https单向/双向认证及tomcat配置https方法
tomcat6配置:
1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源
2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址
如果只是加密,单向就行
如果想要用系统的人没有证书就访问不了系统的话,就采用双向

命令格式:
keytool -genkeypair -alias tomcat -keyalg RSA -keysize 1024 -dname “CN=localhost, OU=Organization, O=Company Name, L=City, S=State, C=US” -validity 365 -keystore e:/tomcat.keystore

单向配置:
第一步:为服务器生成证书
使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件存放在“C:\OctopusStoreKey\SP2014.keystore”,口令为“123456”,使用如下命令生成:
keytool -genkey -v -alias SPClient -keyalg RSA -validity 3650 -keystore c:\OctopusStoreKey\SP2014.keystore

keytool -genkey -v -alias SPClient -keyalg RSA -validity 3650 -keystore c:\OctopusStoreKey\SP2014.keystore -dname “CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn” -storepass 123456 -keypass 123456

这个SP2014CA.cer是为了解决不信任时要导入的
keytool -genkey -v -alias SPClient -keyalg RSA -validity 3650 -keystore c:\OctopusStoreKey\SP2014.keystore

打开Tomcat 根目录下的 /conf/server.xml ,找到如下配置段,修改如下:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"  
               maxThreads="150" scheme="https" secure="true"  
    clientAuth="false" sslProtocol="TLS"  
    keystoreFile="c:\OctopusStoreKey\SP2014.keystore" keystorePass="123456" >

注意:protocol里面的值,如果用http 1.1,那么https的链接就会打不开
需要在应用程序的web.xml可以加上这句话

<login-config>
    <!-- Authorization setting for SSL -->
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>Client Cert Users-only Area</realm-name>
</login-config>

<security-constraint>
    <!-- Authorization setting for SSL -->
    <web-resource-collection>
        <web-resource-name>SSL</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

然后启动tomcat,输入 https://localhost:8443/
这时打开会弹出一个提示框:证书不可信任,有一个警告,说什么需要机构颁发。直接导入SP2014.keystore即可

双向配置:
第一步:为服务器生成证书
使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件存放在“C:\OctopusStoreKey\SP2014.keystore”,口令为“123456”,使用如下命令生成:
keytool -genkeypair -alias tomcat -keyalg RSA -keysize 1024 -dname “CN=localhost, OU=Organization, O=Company Name, L=City, S=State, C=US” -validity 365 -keystore e:/tomcat.keystore

keytool -genkey -v -alias SPClient -keyalg RSA -validity 3650 -keystore c:\OctopusStoreKey\SP2014.keystore -dname “CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn” -storepass 123456 -keypass 123456

第二步:为客户端生成证书
下一步是为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE 和 Firefox ,证书格式应该是 PKCS12 ,因此,使用如下命令生成:
keytool -genkey -v -alias SP0200 -keyalg RSA -storetype PKCS12 -keystore c:\OctopusStoreKey\SP2014.p12(SP0200为自定义)。

keytool -genkey -v -alias SP0200 -keyalg RSA -storetype PKCS12 -validity 3650 -keystore c:\OctopusStoreKey\SP2014.p12 -dname “CN=SP0200,OU=cn,O=cn,L=cn,ST=cn,c=cn” -storepass 123456 -keypass 123456

双击SP2014.p12文件,即可将证书导入至浏览器(客户端)。

第三步:让服务器信任客户端证书
由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,必须先把客户端证书导出为一个单独的CER文件,使用如下命令:
keytool -export -alias SP0200 -keystore c:\OctopusStoreKey\SP2014.p12 -storetype PKCS12 -storepass 123456 -rfc -file C:\OctopusStoreKey\SP2014SubCA.cer

(SP0200为自定义与客户端定义的SP0200要一致,password是你设置的密码)。通过以上命令,客户端证书就被我们导出到“C:\OctopusStoreKey\SP2014SubCA.cer”文件了。

下一步,是将该文件导入到服务器的证书库,添加为一个信任证书使用命令如下:

 keytool -import -v -file C:\OctopusStoreKey\SP2014SubCA.cer -keystore C:\OctopusStoreKey\SP2014.keystore

通过list命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:

keytool -list -keystore C:\OctopusStoreKey\SP2014.keystore

第四步:配置Tomcat 服务器
打开Tomcat 根目录下的 /conf/server.xml ,找到如下配置段,修改如下:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS"
    keystoreFile="C:\OctopusStoreKey\SP2014.keystore" keystorePass="123456"
    truststoreFile="C:\OctopusStoreKey\SP2014.keystore" truststorePass="123456"/>

(SP2014要与生成的服务端证书名一致)

属性说明:
clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证
keystoreFile:服务器证书文件路径
keystorePass:服务器证书密码
truststoreFile:用来验证客户端证书的根证书,此例中就是服务器证书
truststorePass:根证书密码

应用程序的web.xml可以加上这句话:

<login-config>
    <!-- Authorization setting for SSL -->
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>Client Cert Users-only Area</realm-name>
</login-config>

<security-constraint>
    <!-- Authorization setting for SSL -->
    <web-resource-collection>
        <web-resource-name>SSL</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
<!--
Require HTTPS for everything except /img (favicon) and /css.
-->
<security-constraint>
    <web-resource-collection>
        <web-resource-name>HTTPSOrHTTP</web-resource-name>
        <url-pattern>*.ico</url-pattern>
        <url-pattern>/img/*</url-pattern>
        <url-pattern>/css/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>NONE</transport-guarantee>
    </user-data-constraint>
</security-constraint>

测试
在浏览器中输入:https://localhost:8443/,会弹出选择客户端证书界面,点击“确定”,会进入tomcat主页,地址栏后会有“锁”图标,表示本次会话已经通过HTTPS双向验证,接下来的会话过程中所传输的信息都已经过SSL信息加密。

wljliujuan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
keytool+tomcat 单向/双向认证配置
08-09
综上所述,这个主题涵盖了Java安全、SSL/TLS协议、keytool的使用方法Tomcat的SSL配置以及单向双向认证的概念。学习和掌握这些知识对于进行安全的Web服务部署和管理至关重要。在实际操作时,务必注意证书的有效期...
tomcat配置https双向认证
03-30
配置 Tomcat 双向认证需要生成服务器端证书和客户端证书,并将客户端证书添加到服务器的信任认证中。下面是配置步骤: 1. 生成服务器端证书 使用 keytool 工具生成服务器端证书: `keytool -genkey -keyalg RSA -...
tomcat------https单向认证双向认证
weixin_30594001的博客
01-10 166
一、https分为单向认证双向认证: 单向认证就是说,只有客户端使用ssl时对服务器端的证书进行认证,也就是说,客户端在请求建立之前,服务器端会向客户端发送一个证书,一般情况下,这种证书都是由自己或企业自行发布的,所以在客户端使用https时,会跳出“是否信任并继续”,点击信任则表示客户端信任服务器端证书,才可以继续交互。 双向认证,就是服务器端和客户端都对双方的证书进行认证,这时除了单向...
tomcat配置https单项认证
xj8844的博客
05-16 142
简要记录主要步骤备忘 1、进入到jdk下的bin目录(配置了java的环境变量也可以在任意路径下) 2、输入如下指令 keytool -v -genkey -alias tomcat -keyalg RSA -keystore d:/tomcat.key  -validity 36500 附: d:/tomcat.key是将生成的tomcat.key放到d盘根目录下。 "-vali...
Tomcat Https单向认证
luyangbin01的专栏
03-24 461
Tomcat Https单向认证本Markdown编辑器使用[StackEdit][6]修改而来,用它写博客,将会带来全新的体验哦: 按我的这篇文章生成证书 设置server.xml <Connector port="8444" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true" maxThreads="150"
Tomcat配置HTTPS单向认证
最新发布
m0_37346206的博客
04-08 439
客户端认证,true:双向认证,会请求客户端证书,对客户端进 行认证;false:单向认证,准备文件:server.jks servertrust.jks。HTTPS访问的端口,配置完成后,你的应用HTTPS访问地址为。信任的证书库文件,填写servertrust.jks 的路径。是否使用SSL,默认,true,HTTPS必须为true。证书库文件,填写server.jks的路径。信任的证书库文件的密码,制作证书时填写的。参考上一篇公众生成这两个文件。证书库密码,制作证书时填写的。
Tomcat 配置设置https访问(单向验证)
zjh747446195的博客
02-14 7584
注1:以下内容SSL链路加密(对来往数据进行加密)或单向验证(只验证服务端)的步骤,也是tomcat配置https双向验证的一部分。双向验证需要使用两对证书,客户端与服务端互相交换公钥,发送消息时A使用自己的私钥加密数据,B使用A的公钥解密。  注2:分析IE实现实现SSL连接的中的证书双向认证过程:  在地址栏中输入https://localhost:8443  客户端向服务器发送hell
tomcat ssl单向/双向
04-14
Tomcat配置SSL单向认证时,主要步骤包括: 1. 获取并安装SSL证书:可以是自签名证书或者由权威CA(证书颁发机构)签发的证书。 2. 在`server.xml`配置文件中配置`<Connector>`元素,指定`scheme="https"`, `secure=...
利用keytools为tomcat 7配置ssl双向认证方法
08-31
Tomcat 7配置SSL双向认证需要用到Java提供的Keytool工具,Keytool是一个用于管理和创建密钥库(keystore)的命令行工具,其中包含了密钥实体(私钥和公钥)和可信任的证书实体(公钥)。以下是配置SSL双向认证的步骤...
利用tomcat服务器配置https双向认证https单向认证-ssl、tls
08-11
Tomcat作为流行的Java Servlet容器,提供了支持HTTPS协议的能力,这包括了单向认证(也称为服务器认证)和双向认证(也称为客户端认证)。这两种认证机制都是基于SSL(Secure Sockets Layer)和TLS(Transport Layer...
Tomcat SSL/HTTPS 单向认证
sayyy的专栏
10-26 272
1、已经生成名为localhost.jks的证书库,证书库的密码为localhost。 2、证书库中有别名为localhost证书证书的域名为localhost。 3、已安装tomcat7。
Tomcat 自签名https单向/双向验证部署设置
杨小扬的专栏
01-16 1232
参考链接: 单向http://blog.csdn.net/gane_cheng/article/details/53001846 双向https://www.cnblogs.com/xinghuangroup/p/6761370.html 一、单向验证 自签名主要通过java的keytool工具生成:C:\Program Files\Java\jre1.8.0_91\bin\k
tomcat配置HTTPS方式(单向)
wwwzhouzy的专栏
07-21 307
一、生成数字证书 1、进入到jdk下的bin目录 2、输入如下指令 keytool -v -genkey -alias tomcat -keyalg RSA -keystore f:/server.keystore-validity 3650 备注: d:/tomcat.keystore是将生成的tomcat.keystore放到d盘根目录下。 "-validity36500”含义是证书有效期,36500表示100年,默认值是90天 注意若要放到c盘,在win7系统下,需要以管理员...
https单向认证tomcat配置https方法
lychao89的专栏
06-16 2343
tomcat的bin目录或jdk的bin目录下面执行: 第一步:为服务器生成证书 keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650 -keystore E:\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass 123456 -k
本地开发localhost生成证书,让 localhost 提供 https 服务
烂笔头
04-24 8117
原文:https://letsencrypt.org/docs/certificates-for-localhost/ Last updated: December 21, 2017 |See all Documentation Sometimes people want to get a certificate for the hostname “localhost”, either fo...
使用Tomcat 9验证Https单向认证双向认证
ONS_cukuyo的博客
01-26 4479
一、生成根证书颁发机构的密钥库 keytool -genkeypair -v -keystore root.p12 -storetype pkcs12 -storepass 123456 -alias 我是根证书 -keyalg RSA -keysize 2048 -validity 36500 二、生成服务器密钥库 keytool -genkeypa
tomcat6配置https (双向认证/单向认证)
好好学习,好好工作
11-22 6234
tomcat6配置https tomcat6配置双向认证 1、生成服务器端证书 keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650 2、生成客户端证书 keytool -genkey -keyalg RSA
tomcat实现https双向认证配置
a18792721831的博客
11-22 6471
Tomcat实现https双向认证配置1.生成根证书2根证书jks转p123.根证书导出cer文件4.生成客户端的证书库5.生成客户端p12,cer文件6.创建服务器端文件7.使用服务器证书生成认证请求8.使用根证书进行认证9.服务器证书库导入认证后的证书10客户端发起请求 注意:本文偏重于实际操作,理论部分请自行掌握。 注意:所有的代码不可换行,在命令提示符中一行完成。 环境:window 7 ...
Java实现HTTPS双向认证全解析:生成与应用过程
双向认证涉及到客户端和服务端的相互验证,区别于单向认证单向认证中,服务端持有CA证书,客户端需要安装服务端证书来验证,但客户端无需证书即可访问。然而,双向认证要求客户端和服务端都需要拥有各自的证书,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值