Tomcat 配置设置https访问(单向验证)

最新推荐文章于 2022-10-28 21:08:44 发布
最新推荐文章于 2022-10-28 21:08:44 发布
阅读量358 收藏
点赞数
分类专栏: Java开发 文章标签: tomcat https ssl java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/willtea/article/details/84479309
版权
[b]注1:[/b]以下内容SSL链路加密(对来往数据进行加密)或单向验证(只验证服务端)的步骤,也是tomcat配置https双向验证的一部分。双向验证需要使用两对证书,客户端与服务端互相交换公钥,发送消息时A使用自己的私钥加密数据,B使用A的公钥解密。
[b]注2:[/b]分析IE实现实现SSL连接的中的证书双向认证过程:
在地址栏中输入https://localhost:8443
客户端向服务器发送hello消息,tomcat服务器侦听8443端口,收到SSL连接的hello消息,服务器发送server certificate,并且发送client certificate request.客户端IE收到server certificate后取出issuer项,和IE受信任的根证书库中证书的subject比对,找到合适的根证书认证server certificate。并且同时向服务器发送client certificate,服务器收到client certificate后,tomcat服务器查找根证书库cacerts中的根证书的suject,找到合适的根证书认证client certificate.在认证的同时完成密钥协商。客户端认证结束后,IE会弹出"安全警报"对话框,用户可以查看服务器证书,以及服务器证书是否受信任,可以选择是否继续SSL连接。

[b]参考链接:[/b]
1. Java+Https+Tomcat双向验证实例:[url]http://blog.csdn.net/zhongming_software/article/details/8592331[/url]
2. Tomcat+Axis2 WebService配置SSL单向验证:[url]http://blog.csdn.net/honglei915/article/details/6073290[/url]
3. Tomcat配置HTTPS方式(单向):[url]http://www.blogjava.net/stevenjohn/archive/2012/09/26/388600.html[/url]

[b][size=medium]1. 服务端创建KeyStore[/size][/b]命令: 
keytool -genkey -alias server_jks_testws -keyalg RSA -keypass changeit -storepass changeit -keystore server_jks_testws.jks -validity 3650.

[quote]keytool命令如下:
-genkey 在用户主目录中创建一个默认文件".jks",还会产生一个server_jks_cennavi的别名,server_jks_cennavi中包含用户的公钥、私钥和证书
-alias 产生别名server_jks_testws
-keystore 指定密钥库的名称(产生的各类信息将不在.jks文件中
-keyalg 指定密钥的算法
-validity 指定创建的证书有效期多少天
-keysize 指定密钥长度
-storepass 指定密钥库的密码
-keypass 指定别名条目的密码
-dname 指定证书拥有者信息[/quote]

[img]http://dl2.iteye.com/upload/attachment/0089/2756/a1a9aeb1-797f-3863-b896-db4c1e5c2a4e.png[/img]

[quote]注:上图中的名字和姓氏代表客户端访问的域名或ip地址(即服务端的对外地址,比如www.sina.com.cn或127.0.0.1),上图设置localhost代表服务端运行在本机,客户端访问本机服务。这个地方名字若和服务端实际运行地址不一样,则浏览器访问https链接会出现证书不匹配错误![/quote]
在C:\Users\Administrator\目录下生成server_jks_testws.jks文件,此文件包含服务端的公钥、私钥和证书。
[b][size=medium]2. 发布http非加密服务,查看soap包数据[/size][/b]
[b]2.1 在服务端发布webservice接口,接口代码如下:[/b]
   
public int sum(int num1, int num2) throws AxisFault {
		LoginCheck.checkUserPwd(); 
// 当客户端调用getPrice方法是,在此处先进行用户名和密码校验,如果校验通过则继续后续逻辑处理,如果不通过则抛出异常。
		return num1 + num2;
  }
  LoginCheck进行用户验证,代码如下:
  public class LoginCheck {
  public static void checkUserPwd() throws AxisFault {
		MessageContext msgContext = MessageContext.getCurrentMessageContext();
		Iterator list = (Iterator) msgContext.getEnvelope().getHeader().getFirstElement().getChildren();
		String Username = "";
		String Password = "";
		while (list.hasNext()) {
			OMElement element = (OMElement) list.next();
			if (element.getLocalName().equals("Username")) {
				Username = element.getText();
			}
			if (element.getLocalName().equals("Password")) {
				Password = element.getText();
			}
		}
		if (!Username.equals("toone") || !Password.equals("111")) {
			throw new AxisFault(" Authentication Fail! Check username/password ");
		}else{
			System.out.println("use:"+Username+"验证通过");
		}
  }
  }

[b]2.2 客户端访问代码[/b] 
public class TestClient {
	public static void main(String[] args) {
		try {
//			WSStub stub = new WSStub("https://localhost:8553/TestWS/services/WS");
			WSStub stub = new WSStub("http://localhost:8080/TestWS/services/WS");								ServiceClient sc = stub._getServiceClient();
			sc.addHeader(HeaderOMElement.createHeaderOMElement());
			stub._setServiceClient(sc);

			WSStub.Sum sums = new WSStub.Sum();
			sums.setNum1(2);
			sums.setNum2(3);
			WSStub.SumResponse sr = stub.sum(sums);
			System.out.println(sr.get_return());

//			WSStub.GetPrice gp = new WSStub.GetPrice();
//			gp.setSymbol("sino");
//			WSStub.GetPriceResponse gpr = stub.getPrice(gp);
//			System.out.println(gp.getSymbol()+" : "+gpr.get_return());

		}  catch (AxisFault e) {
			System.out.println("验证失败:"+e.getMessage());
			e.printStackTrace();
		}catch (RemoteException e) {
			System.out.println("远程连接失败:"+e.getMessage());
			e.printStackTrace();
		}
	}
}

其中HeaderOMElement.createHeaderOMElement()指的是将用户信息添加到soap header中,用于服务端验证。
代码如下: 
public class HeaderOMElement {
	public static OMElement createHeaderOMElement() {
		OMFactory factory = OMAbstractFactory.getOMFactory();
		OMNamespace SecurityElementNamespace = factory.createOMNamespace("http://handler.com", "wsse");
		OMElement authenticationOM = factory.createOMElement("Authentication",SecurityElementNamespace);
		OMElement usernameOM = factory.createOMElement("Username",SecurityElementNamespace);
		OMElement passwordOM = factory.createOMElement("Password",SecurityElementNamespace);
		usernameOM.setText("toone");
		passwordOM.setText("111");
		authenticationOM.addChild(usernameOM);
		authenticationOM.addChild(passwordOM);
		return authenticationOM;
	}
}
2.3 抓包显示,通过TcpTrace抓包显示截图如下:

上图中用户信息和接口参数的双向传递都是明文。
[b][size=medium]3. 设置tomcat https访问[/size][/b]
[b][color=red]服务端[/color][/b]
[b]3.1 修改%TOMCAT_HOME%/conf/server.xml文件[/b]  将原server.xml文件中对应部分代码去掉注释,并添加相应代码,如下:
   
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
			   keystoreFile="C:\Users\Administrator\server_jks_testws.jks" keystorePass="changeit"/>
    <!-- clientAuth="false" 代表ssl单向验证,即只验证服务端-->
注:keystorePass="changeit",对应第一部分申请证书时的密码设置。
[b]3.2 修改%TOMCAT_HOME%/conf/web.xml文件[/b]
  屏蔽http链接,所有http访问都重定向为https访问,在文件结尾添加代码:
   
<login-config>
  		  <auth-method>CLIENT-CERT</auth-method>
  		  <realm-name>Client Cert Users-only Area</realm-name>
  	  </login-config>
  	  <security-constraint>
  		  <web-resource-collection >
  			  <web-resource-name >SSL</web-resource-name>
  			  <url-pattern>/*</url-pattern>
  		  </web-resource-collection>
  		  <user-data-constraint>
  			  <transport-guarantee>CONFIDENTIAL</transport-guarantee>
  		  </user-data-constraint>
  	  </security-constraint>

[b][color=red]客户端[/color][/b]
[b]3.3 将服务端证书*.jks文件复制到客户端特定目录下,并在客户端添加灰色背景代码[/b] 
public class TestClient {
	private static String trustKeyStore = "D:/Workspace/TestWSClient/jks/server_jks_testws.jks";
	public static void main(String[] args) {
		//添加服务器信任证书
		System.setProperty("javax.net.ssl.trustStore", trustKeyStore);
		System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
		try {
			WSStub stub = new WSStub("https://localhost:8443/TestWS/services/WS");
//			WSStub stub = new WSStub("http://localhost:8080/TestWS/services/WS");								ServiceClient sc = stub._getServiceClient();
			sc.addHeader(HeaderOMElement.createHeaderOMElement());
			stub._setServiceClient(sc);

			WSStub.Sum sums = new WSStub.Sum();
			sums.setNum1(2);
			sums.setNum2(3);
			WSStub.SumResponse sr = stub.sum(sums);
			System.out.println(sr.get_return());

//			WSStub.GetPrice gp = new WSStub.GetPrice();
//			gp.setSymbol("sino");
//			WSStub.GetPriceResponse gpr = stub.getPrice(gp);
//			System.out.println(gp.getSymbol()+" : "+gpr.get_return());

		}  catch (AxisFault e) {
			System.out.println("验证失败:"+e.getMessage());
			e.printStackTrace();
		}catch (RemoteException e) {
			System.out.println("远程连接失败:"+e.getMessage());
			e.printStackTrace();
		}
	}
}

[b]3.4 抓包显示,通过TcpTrace抓包显示截图如下:[/b]

[img]http://dl2.iteye.com/upload/attachment/0089/2760/466a2e6e-f660-3a3c-bca9-abf6dc54405e.png[/img]


[b][size=medium]4. 配置特定资源访问使用https[/size][/b]某些情况下,某些特定资源需要走https协议,如登录请求。这时,我们可以在web.xml中配置约束。
   
<security-constraint>
         <web-resource-collection>
             <web-resource-name>SSL Resource</web-resource-name>
             <url-pattern>/index.jsp</url-pattern>
         </web-resource-collection>
         <user-data-constraint>
              <transport-guarantee>CONFIDENTIAL</transport-guarantee>
         </user-data-constraint>
  </security-constraint>

这样当使用如下请求访问登录页面时,则服务器将该请求建立在https连接上。
  http://localhost:8080/TestWS/index.jsp


[b]备注:[/b]
TcpTrace设置:监听8888,目的地地址:localhost,转发8443
客户端访问:http://localhost:8888/TestWS/,则是指将数据包发往8888,TcpTrace接收到数据包转发给8443

[b]问题1:org.apache.axis2.AxisFault: Transport error: 302 Error: Moved Temporarily[/b]
若在tomcat中配置http(端口8080)访问自动转到https(端口8443),使用TcpTrace进行端口转发抓包时会报错:
org.apache.axis2.AxisFault: Transport error: 302 Error: Moved Temporarily
at org.apache.axis2.transport.http.HTTPSender.handleResponse(HTTPSender.java:296)
at org.apache.axis2.transport.http.HTTPSender.sendViaPost(HTTPSender.java:190)
at org.apache.axis2.transport.http.HTTPSender.send(HTTPSender.java:75)
at org.apache.axis2.transport.http.CommonsHTTPTransportSender.writeMessageWithCommons(CommonsHTTPTransportSender.java:371)
at org.apache.axis2.transport.http.CommonsHTTPTransportSender.invoke(CommonsHTTPTransportSender.java:209)
at org.apache.axis2.engine.AxisEngine.send(AxisEngine.java:448)
at org.apache.axis2.description.OutInAxisOperationClient.send(OutInAxisOperation.java:401)
at org.apache.axis2.description.OutInAxisOperationClient.executeImpl(OutInAxisOperation.java:228)
at org.apache.axis2.client.OperationClient.execute(OperationClient.java:163)
at com.*.webservice.WSStub.sum(WSStub.java:210)
at com.*.testws.TestClient.main(TestClient.java:28)
验证失败:Transport error: 302 Error: Moved Temporarily
[b]问题2:java.security.UnrecoverableKeyException: Password verification failed[/b]
由于keytool设置证书的默认密码是changeit,若改为其他密码,则会导致在客户端调用时出现错误:
java.security.UnrecoverableKeyException: Password verification failed
暂时解决方法是将证书的密码设置为changeit,参考链接:http://www.wirelust.com/
其他解决方法还需要继续研究。

[b]问题3:[/b]
如果AC主机不能通过域名查找,必须使用IP,但是这个IP只有在配置后才能确定,这样证书就必须在AC确定IP地址后才能生成。
[b]问题4:[/b]
证书文件只能绑定一个IP地址,假设有10.1.25.250 和 192.168.1.250 两个IP地址,在证书生成文件时,如使用了10.1.25.250,通过IE就只能使用10.1.25.250 来访问AC-WEB,192.168.1.250是无法访问AC-WEB的。
fxly0401
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
https单向/双向认证的tomcat配置攻略
iteye_15570的博客
05-23 191
转载自:http://juncao2011.iteye.com/blog/973988 tomcat6配置: 1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源 2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址 如果只是加密,我感觉单向就行了。 如果想要用系统的人没有证书就访问不了系统的话,就采用双向 单向配置: 第一步:为...
【原】HTTP 验证 Tomcat中进行基本验证 (Basic Authentication) 和摘要验证 (Digest Authentication)...
我是程序员,为了最后的阵地
09-11 501
HTTP 验证HTTP 协议提供验证机制来保护资源。当一个请求要求取得受保护的资源时,网页服务器回应一个 401 Unauthorized error 错误码。这个回应包含一个指定了验证方法和领域的 WWW-Authenticate 头信息。把这个领域想像成一个存储着用户名和密码的数据库,它将被用来标识受保护资源的有效的用户。比如,你试着去访问某个网站上标识为“Personal Files”的资...
tomcat配置HTTPS方式(单向)
wwwzhouzy的专栏
07-21 307
一、生成数字证书 1、进入到jdk下的bin目录 2、输入如下指令 keytool -v -genkey -alias tomcat -keyalg RSA -keystore f:/server.keystore-validity 3650 备注: d:/tomcat.keystore是将生成的tomcat.keystore放到d盘根目录下。 "-validity36500”含义是证书有效期,36500表示100年,默认值是90天 注意若要放到c盘,在win7系统下,需要以管理员...
Tomcat配置https方式访问单向认证)
atomti
01-07 128
在命令提示符窗口,进入Tomcat目录,执行以下命令: keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600 通过以上步骤生成server.keystore证书文件、 注意: localhost,是网站的域名或...
Tomcat配置SSL(单向认证)
QQ562044177的专栏
04-21 1913
注:本文只说明单向认证,这里设置为false单向认证:客户端向服务器发送消息,服务器接到消息后,用服务器端的密钥库中的私钥对数据进行加密,然后把加密后的数据和服务器端的公钥一起发送到 客户端,客户端用服务器发送来的公钥对数据解密,然后在用传到客户端的服务器公钥对数据加密传给服务器端,服务器用私钥对数据进行解密,这就完成了客户端 和服务器之间通信的安全问题,但是单向认证没有验证客户端的合法性。
Tomcat配置https单向加密
01-11
Tomcat配置HTTPS单向加密】是指在Apache Tomcat服务器上设置HTTPS协议,以实现数据传输的安全性。HTTPS协议基于SSL/TLS协议,能够提供数据的加密、服务器身份验证和消息完整性检查,确保网络通信的安全。单向加密...
tomcat配置https单项认证
08-06
标题中的“Tomcat配置HTTPS单项认证”涉及到的是在Apache Tomcat服务器上设置安全套接层(SSL)以实现HTTPS通信的过程,尤其是关于单向认证(也称为客户端认证)的配置。在互联网上,HTTPS是HTTP协议的安全版本,...
利用tomcat服务器配置https双向认证、https单向认证-ssl、tls
08-11
总的来说,理解并正确配置TomcatHTTPS设置是确保Web应用安全的关键环节。这涉及到SSL/TLS协议的理解,证书的获取和管理,以及Tomcat服务器的配置。同时,选择合适的JDK版本也很重要,以确保所有安全功能的正常运作...
使用https访问tomcat
06-02
当需要用加密方式,单向或者双向方式,使用https访问tomcat的时候,需要配置tomcat,同时要生成相应的证书,本文深入讲解了https方式的原理,及配置,都经过了实际验证。部份是转载。
Tomcat_SSL配置[归类].pdf
10-20
4. **修改Tomcat配置** 需要修改Tomcat的`server.xml`配置文件,开启SSL支持并指定KeyStore文件和密码。找到`<Connector>`标签,取消注释并修改相关属性,例如: ```xml maxThreads="150" scheme=...
Tomcat单向Https验证搭建,亲自实现与主流浏览器、Android/iOS移动客户端安全通信
LoveSummer
02-04 9282
众所周知,iOS9已经开始在联网方面默认强制使用Https替换原来的Http请求了,虽然Http和Https各有各的优势,但是总得来说,到了现在这个安全的信息时代,开发者已经离不开Https了。 网上有很多搭建Https的教程,但是比较零散,Web浏览器端和移动端具体部署也不是特别明确,如果真的用于项目中,还需要折腾一番,本人直接来个项目级别的Demo。   双向Https验证
解决配SSL时报错java.security.UnrecoverableKeyException: Password verification failed
最新发布
FarryNiu的博客
10-28 3018
解决Caused by: java.security.UnrecoverableKeyException: Password verification failed
Android Studio编译报错:Password verification failed
qq_34823218的博客
07-30 1370
一般是 android/app/build.gradle里面的 signingConfigs 配置有问题 Caused by: java.io.IOException: Keystore was tampered with, or password was incorrect (密码被篡改或者密码不正确) 密码错了 Caused by: java.security.UnrecoverableKeyException: Password verification failed (不可恢复的.
java登录密码验证失败_在nexus启动时密钥库密码验证失败
weixin_29463587的博客
02-25 266
我生成了我的自签名证书,如下所示:sudo keytool -genkey -keyalg RSA -alias jetty -keystore keystore.jks -storepass myjettypassword -validity 360 -keysize 2048当生成keystore.jks时,我启动了nexus(嵌入了jetty),但是出现了这个错误 . 请帮忙!2016-03...
tomcat配置https单向认证)+如何使用java请求
Jason丶宇的博客
09-07 1987
一.  创建tomcat证书   这里使用JDK自带的keytool工具来生成证书:   1. 在jdk的安装目录\bin\keytool.exe下打开keytool.exe     2. 在命令行中输入以下命令: keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "g:\tomcat.keystore" ...
Tomcat底层原理分析:8.Tomcat安全性配置解析
桔子
06-23 358
本文导读 本文主要讲了Tomcat部署后需要修改哪些默认配置,从而保证Tomca的安全性; 以及如何为我们部署在Tomcat上的Web项目设置https协议,从而进一步保证Web项目的安全性。 1.配置安全 部署完Tomcat环境之后,Tomcat会有一些默认功能和默认配置,建议按照下面的提示修改Tomcat的默认配置!!! 安装完Tomcat后,强烈建议情况webapps目录下所有的文件,即禁用Tomcat的管理界面,防止出现别人通过管理界面修改部署在Tomcat中的web服务; 注释或者删除tom
使用阿里云配置Tomcat Https(注意不同tomcat8.5版本配置不同)
localhost01
04-27 1万+
使用阿里云Https配置Tomcat(注意tomcat8.5版本配置不同) 前言 我们知道jdk自带的keytool工具可以帮助提供https支持,使用下面命令: 生成服务器证书,有效时间100年、证书别名为serverkey、生成文件名为server.keystore: keytool -genkey -v -alias serverkey -keya
Tomcat8080、80、8443、443端口及对应http、https协议详解
热门推荐
待到春花烂漫时
05-11 4万+
近期由于项目需要,将购买的阿里云服务器Windows版换成了linux的CentOS版本,tomcat需要重新配置https协议,再次被server.xml里边的这几个connector搞得欲死欲仙,索性这次多深入写了解下它们的区别,也方便下以后跟我踩一样的坑的同学们。 我们要弄清楚的,是以下四个概念: 一、 在tomcat配置文件中有以下几个常见端口: 8080和80都是HTTP端口,...
C++/C++11中头文件iterator的使用
网络资源是无限的
09-14 1万+
<iterator>是C++标准程序库中的一个头文件,定义了C++ STL标准中的一些迭代器模板类,这些类都是以std::iterator为基类派生出来的。迭代器提供对集合(容器)元素的操作能力。迭代器提供的基本操作就是访问和遍历。迭代器模拟了C++中的指针,可以有++运算,用*(解引用算符,deference)或->算符来访问容器中的元素。容器中元素如果改变了所用内存,也不影响...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值