https单向/双向认证的tomcat配置攻略

最新推荐文章于 2023-04-20 17:41:52 发布
最新推荐文章于 2023-04-20 17:41:52 发布
阅读量545 收藏
点赞数
文章标签: HTTPS SSL
转载自:http://juncao2011.iteye.com/blog/973988 
tomcat6配置: 
1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源 
2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址 
如果只是加密,我感觉单向就行了。 
如果想要用系统的人没有证书就访问不了系统的话,就采用双向 
单向配置: 
第一步:为服务器生成证书 

使用keytool 为 Tomcat 生成证书,假定目标机器的域名是“ localhost ”, keystore 文件存放在“ C:\tomcat.keystore ”,口令为“ password ”,使用如下命令生成: 

keytool -genkey -v -alias tomcat -keyalg RSA   -validity 3650  -keystore c:\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password 
这个tomcat.cer是为了解决不信任时要导入的 
keytool -export -alias tomcat -keystore c:\tomcat.keystore -file c:\tomcat.cer -storepass password 
第四步:配置Tomcat 服务器 

打开Tomcat 根目录下的 /conf/server.xml ,找到如下配置段,修改如下: 

Java代码   收藏代码
  1. <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"   
  2.   
  3.                maxThreads="150" scheme="https" secure="true"   
  4.   
  5.     clientAuth="false" sslProtocol="TLS"   
  6.   
  7.     keystoreFile="C:/tomcat.keystore" keystorePass="password" >   


特别需要注意的是:protocol里面的值.如果用http 1.1,那么https的链接就会打不开.这也是我后期订正的 


应用程序的web.xml 可以加上这句话: 具体web系统 
Java代码   收藏代码
  1. <login-config>   
  2.   
  3. <!-- Authorization setting for SSL -->   
  4.   
  5. <auth-method>CLIENT-CERT</auth-method>   
  6.   
  7. <realm-name>Client Cert Users-only Area</realm-name>   
  8.   
  9. </login-config>   
  10.   
  11. <security-constraint>   
  12.   
  13. <!-- Authorization setting for SSL -->   
  14.   
  15. <web-resource-collection >   
  16.   
  17. <web-resource-name >SSL</web-resource-name>   
  18.   
  19. <url-pattern>/*</url-pattern>   
  20.   
  21. </web-resource-collection>   
  22.   
  23. <user-data-constraint>   
  24.   
  25. <transport-guarantee>CONFIDENTIAL</transport-guarantee>   
  26.   
  27. </user-data-constraint>   
  28.   
  29. </security-constraint>   


到这里启动tomcat,输入 https://localhost:8443/ 
这时再打开会弹出一个提示框:证书不可信任,有一个警告,说什么需要机构颁发。 
这时再双击第一步生成的tomcat.cer。一直下一步,最后选“是”。 

导入后,再输入地址就不是提示了。直接转向tomcat的猫页,说明成功了。 



双向配置: 
第一步:为服务器生成证书 

使用keytool 为 Tomcat 生成证书,假定目标机器的域名是“ localhost ”, keystore 文件存放在“ C:\tomcat.keystore ”,口令为“ password ”,使用如下命令生成: 

keytool -genkey -v -alias tomcat -keyalg RSA   -validity 3650  -keystore c:\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password 
这个tomcat.cer是为了解决不信任时要导入的 
keytool -export -alias tomcat -keystore c:\tomcat.keystore -file c:\tomcat.cer -storepass password 
第二步:为客户端生成证书 

下一步是为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE 和 Firefox ,证书格式应该是 PKCS12 ,因此,使用如下命令生成: 

keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12   -validity 3650  -keystore C:\my.p12 -dname "CN=MyKey,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password 

第三步:让服务器信任客户端证书 

由于是双向SSL 认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将 PKCS12 格式的证书库导入,我们必须先把客户端证书导出为一个单独的 CER 文件,使用如下命令:

keytool -export -alias myKey -keystore C:\my.p12 -storetype PKCS12 -storepass password -rfc -file C:\my.cer 



通过以上命令,客户端证书就被我们导出到“C:\my.cer ”文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书: 

keytool -import -v -file C:\my.cer -keystore c:\tomcat.keystore -storepass password 

通过list 命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书: 

keytool -list -keystore c:\tomcat.keystore -storepass password 

第四步:配置Tomcat 服务器 

打开Tomcat 根目录下的 /conf/server.xml ,找到如下配置段,修改如下: 
Java代码   收藏代码
  1. <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"   
  2.   
  3.                maxThreads="150" scheme="https" secure="true"   
  4.   
  5.     clientAuth="true" sslProtocol="TLS"   
  6.   
  7.     keystoreFile="C:/tomcat.keystore" keystorePass="password"   
  8.   
  9. truststoreFile="C:/tomcat.keystore" truststorePass="password"/>   


应用程序的web.xml 可以加上这句话: 具体web系统 
Java代码   收藏代码
  1. <!-- Authorization setting for SSL -->   
  2.   
  3. <auth-method>CLIENT-CERT</auth-method>   
  4.   
  5. <realm-name>Client Cert Users-only Area</realm-name>   
  6.   
  7. </login-config>   
  8.   
  9. <security-constraint>   
  10.   
  11. <!-- Authorization setting for SSL -->   
  12.   
  13. <web-resource-collection >   
  14.   
  15. <web-resource-name >SSL</web-resource-name>   
  16.   
  17. <url-pattern>/*</url-pattern>   
  18.   
  19. </web-resource-collection>   
  20.   
  21. <user-data-constraint>   
  22.   
  23. <transport-guarantee>CONFIDENTIAL</transport-guarantee>   
  24.   
  25. </user-data-constraint>   
  26.   
  27. </security-constraint>   

到这里启动tomcat,输入 https://localhost:8443/,是访问不了的:原因客户端证书没有导入浏览器 
双击 “C:\my.p12” 即可将证书导入至 IE :输入创建时候的密码,password 

这时再打开会弹出一个提示框:证书不可信任,有一个警告,说什么需要机构颁发。 
这时再双击第一步生成的tomcat.cer。一直下一步,最后选“是”。 

导入后,再输入地址就不是提示了。直接转向tomcat的猫页,说明成功了。 

其他: 
1.ssl默认端口是443,如果web系统不需要带端口访问的,可以修改,去找找资料,我没试过。 
2.如果要批量生成客户端的话,找找批量生成工具,我搜到过。
小胖快跑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat web.xml配置文件
ITMagic_Jack的专栏
03-31 8702
Web应用程序描述文件是Web应用程序的配置文件。 功能: 01) ServletContext的初始化参数 02) Servlet / JSP的定义 03) Servlet / JSP的映射 04) MIME类型定义 05) Session的配置 06) MIME类型的映射 07) 欢迎文件列表 08) 错误页面的设置 09) 安全相关设置 10) 地区和编码的设置 11) 利用JNDI取得资源 12) Tag Library的映射
Apache Server的Httpd配置文件SSL443 配置https
07-06
Apache Server的Httpd配置文件SSL443 配置https 修改域名直接可用(附带Odoo8069转443)
JavaWeb的web.xml标签元素(二)
茅坤宝骏氹的博客
05-24 789
九、session-config    为Web应用中的javax.servlet.http.HttpSession对象定义参数session-config-session-timeout?    session-timeout元素用来指定默认的会话超时时间间隔,以分钟为单位。该元素值必须为整数。如果session-timeout元素的值为零或负数,则表示会话将永远不会超时。XML语法:&lt;s...
Tomcat--单向https双向https配置
zdh9378的专栏
11-24 841
tomcat6配置:  1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源  2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址  如果只是加密,我感觉单向就行了。  如果想要用系统的人没有证书就访问不了系统的话,就采用双向  单向配置:  第一步:为服务器生成证书  使用keytool 为 Tomcat 生成证书,假定目标机器的域名
web.xml配置文件详解
Camel
11-12 626
首先可以肯定的是,加载顺序与它们在 web.xml 文件中的先后顺序无关。即不会因为 filter 写在 listener 的前面而会先加载 filter。最终得出的结论是:listener -> filter -> servlet 同时还存在着这样一种配置节:context-param,它用于向 ServletContext 提供键值对,即应用程序上下文信息。我们的 list...
keytool+tomcat 单向/双向认证配置
08-09
NULL 博文链接:https://sgq0085.iteye.com/blog/1767923
VC (包含单向认证双向认证源码) http/https
11-12
VC http/https(包含单向认证双向认证源码) 这个类是从我现在正在开发的代码中扣出来的,但是耦合性应该不高,可以加入到其他工程使用,带S的函数是针对多线程压力测试几乎没有捕获异常。代码以先完成在完美的思想...
VC http/https(包含单向认证双向认证源码、SSL协议设置)
11-14
VC http/https(包含单向认证双向认证源码、SSL协议设置) 这个类是从我现在正在开发的代码中扣出来的,但是耦合性应该不高,可以加入到其他工程使用,带S的函数是针对多线程压力测试几乎没有捕获异常。代码以先...
tomcat ssl单向/双向
04-14
NULL 博文链接:https://juncao2011.iteye.com/blog/973988
双向认证单向认证双向认证单向认证
08-07
双向认证单向认证双向认证单向认证
web.xml中security-constraint安全认证标签说明
热门推荐
u012045045的博客
01-23 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml中进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置 &lt;bean class="org.springframework.web.servlet.view.Inte...
TOMCAT HTTPS访问配置应用
明明
04-01 627
TOMCAT HTTPS访问设置   1.      首先确定已经安装了JDK 或JRE,并配置java运行环境。 On Windows: C:\> set JAVA_HOME=C:\Program Files\Java\jdk 1.6.0_16 C:\> set PATH=%JAVA_HOME%\bin;%PATH% On Linux: # export
https在jsp中简单使用(网络copy)
iteye_20102的博客
05-09 398
HTTPS实际是SSL over HTTP, 该协议通过SSL在发送方把原始数据进行加密,在接收方解 密,因此,所传送的数据不容易被网络黑客截获和破解。本文介绍HTTPS的三种实现方法 。 方法一 静态超链接 这是目前网站中使用得较多的方法,也最简单。在要求使用SSL进行传输的Web网页链接 中直接标明使用HTTPS协议,以下是指向需要使用SSL的网页的超链接: ...
Tomcat证书配置ssl,客户端认证,内网证书)
IOT之无线网络传输技术
12-03 1698
场景说明:  tomcat 客户端证书认证 + 指定证书用户。 如内网证书验证(某些人员才有权限)   证书生成和双向证书配置这块网上资料很多,也很详细,大家可以 百度一下 1. 证书生成 服务端证书如果公司有购买的可以直接配置(天威诚信的官网有操作说明),如果没有可以自己生成(不过浏览器每次会弹出提示)。 客户端根证书,一般如果是内网根证书为 xxx.cer 文件。 可以直接和服务端
web.xml 详细介绍
今天最成功
06-26 412
1、启动一个WEB项目的时候,WEB容器会去读取它的配置文件web.xml,读取&lt;listener&gt;和&lt;context-param&gt;两个结点。  2、紧急着,容创建一个ServletContext(servlet上下文),这个web项目的所有部分都将共享这个上下文。  3、容器将&lt;context-param&gt;转换为键值对,并交给servletCont...
Web项目快速HTTPS改造简要方案(Nginx+openssl)
zhaoenweiex的博客
04-22 1352
目标 将原有的http服务(windows环境)改造为https服务,以提高安全性。 开始之前 开始动手之前有几点需要弄明白: 改造为https后,原来站点内所有的http引用的静态资源都要改为https,如果不支持则需要想办法解决,比如把对应资源爬下来放到nginx下。 自己生成的证书浏览器是不认的,会出现一个不安全的提示,若是连接外网的话可以采用let’s encrypt+脚本的自动化获取证...
一篇关于web.xml配置的详细说明
gdsy的专栏
06-27 1614
1 定义头和根元素部署描述符文件就像所有XML文件一样,必须以一个XML头开始。这个头声明可以使用的XML版本并给出文件的字符编码。DOCYTPE声明必须立即出现在此头之后。这个声明告诉服务器适用的servlet规范的版本(如2.2或2.3)并指定管理此文件其余部分内容的语法的DTD(Document Type Definition,文档类型定义)。所有部署描述符文件的顶层(根)元素为web-ap
tomcat对个端口对多个应用
khcsnmbs的博客
09-19 268
转载https://www.cnblogs.com/ClassNotFoundException/p/6489390.html <Service name="Catalina"> <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPo...
Tomcat8配置双向https
振宇要低调
04-20 215
tomcat根目录\conf\server.xml修改如下配置。注意,jks与前端登录的证书应该是同一个CA签发的才行。
https 双向认证单向认证
最新发布
08-26
https双向认证单向认证有一些共同的原理,但也有一些不同之处。单向认证仅仅要求客户端验证服务端的身份,而双向认证则要求服务端和客户端互相验证对方的身份。 在单向认证中,建立连接后,客户端会验证服务端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值