Tomcat6配置SSL的方法

最新推荐文章于 2017-10-11 22:03:26 发布
最新推荐文章于 2017-10-11 22:03:26 发布
阅读量4.1k 收藏 6
点赞数
分类专栏: https tomcat 文章标签: tomcat ssl 服务器 scheme server jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xueyepiaoling/article/details/6138798
版权
https 同时被 2 个专栏收录
12 篇文章 0 订阅
订阅专栏
tomcat
10 篇文章 0 订阅
订阅专栏

因为做项目测试的时候,用到了https,所以现在需要在tomcat中配置SSL。

 

tomcat6配置双向认证

1、生成服务器端证书 

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650

2、生成客户端证书 
keytool -genkey -keyalg RSA -dname "cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650


客户端的CN可以是任意值。
3、由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件,使用如下命令,先把客户端证书导出为一个单独的cer文件:

keytool -export -alias custom -file custom.cer -keystore  custom.p12 -storepass password -storetype PKCS12 -rfc


然后,添加客户端证书到服务器中(将已签名数字证书导入密钥库)

keytool -import -v -alias custom -file custom.cer -keystore  server.jks -storepass password


4、查看证书内容

keytool -list -v -keystore server.jks -storepass password


5、配置tomcat service.xml文件

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="true" sslProtocol="TLS"
    keystoreFile="D:/server.jks" keystorePass="password"
    truststoreFile="D:/server.jks" truststorePass="password"
/>


clientAuth="true"表示双向认证
6、导入客户端证书到浏览器
双向认证需要强制验证客户端证书。双击“custom.p12”即可将证书导入至IE

7、修改应用的web.xml,使其自动启用SSL

<login-config>
 <auth-method>CLIENT-CERT</auth-method>
 <realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
 <web-resource-collection>
  <web-resource-name>SSL</web-resource-name>
  <url-pattern>/*</url-pattern>
 </web-resource-collection>
 <user-data-constraint>
  <transport-guarantee>CONFIDENTIAL</transport-guarantee>
 </user-data-constraint>
</security-constraint>

 


tomcat6配置单向认证

1、生成服务器端证书

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650


2、由于是单向认证,没有必要生成客户端的证书,直接进入配置tomcat service.xml文件

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="false" sslProtocol="TLS"
    keystoreFile="D:/server.jks" keystorePass="password"    
/>


clientAuth="false"表示单向认证,同时去掉truststoreFile="D:/server.jks" truststorePass="password"这2个属性

 

PS:用https://localhost:8443测试,之前一直不成功,是因为配置的时候,用了eclipse启动的。之后虽然修改了server.xml文件,但是一直就是报异常,说connceted refused。后来将server删除,重新生成就可以了。

 

另附:双向认证的批处理文件,用记事本编辑,文件后缀改为.bat

 

set local_driver=%cd:~0,2%
set local_path=%cd%

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650

keytool -genkey -keyalg RSA -dname "cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650

keytool -export -alias custom -file custom.cer -keystore  custom.p12 -storepass password -storetype PKCS12 -rfc

keytool -import -v -alias custom -file custom.cer -keystore  server.jks -storepass password

keytool -list -v -keystore server.jks -storepass password

%local_driver%
cd %local_path%

pause

 

有一些其它的选项配置SSL协议。你可能需要增加或改变下面的属性值,取决于你开始对keystore的配置

 

clientAuth

如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书,置该值为true。

keystoreFile

如果创建的keystore文件不在Tomcat认为的缺省位置(一个在Tomcat运行的home目录下的叫.keystore的文件),则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。

keystorePass

如果使用了一个与Tomcat预期不同的keystore(和证书)密码(changeit),则加入该属性。

keystoreType

如果使用了一个PKCS12 keystore,加入该属性。有效值是JKS和PKCS12。

sslProtocol

socket使用的加密/解密协议。如果使用的是Sun的JVM,则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下,使用SSL。

ciphers

此socket允许使用的被逗号分隔的密码列表。缺省情况下,可以使用任何可用的密码。

algorithm

使用的X509算法。缺省为Sun的实现(SunX509)。对于IBM JVMS应该使用ibmX509。对于其它JVM,参考JVM文档取正确的值。

truststoreFile

用来验证客户证书的TrustStore文件。

truststorePass

访问TrustStore使用的密码。缺省值是keystorePass。

truststoreType

如果使用一个不同于正在使用的KeyStore的TrustStore格式,加入该属性。有效值是JKS和PKCS12。

 

在Java中取得证书内容:

1X509Certificate[] certChain=(X509Certificate[])request

2        .getAttribute("javax.servlet.request.X509Certificate");
3int len=certChain.length;
4if (len>0){
5    X509Certificate cert = (X509Certificate)certChain[0];
6    Principal subject = cert.getSubjectDN();
7    String certSubject = subject.getName();
8}
xueyepiaoling
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat6配置使用SSL双向认证(使用openssl生成证书)
星星的技术专栏
08-21 8380
一:生成CA证书目前不使用第三方权威机构的CA来认证,自己充当CA的角色。 网上下载一个openssl软件1. 创建私钥 :C:/OpenSSL/bin>openssl genrsa -out ca/ca-key.pem 1024 2.创建证书请求 :C:/OpenSSL/bin>openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem -----Country Name (2 letter code) [AU]:cnState or Province N
Tomcat配置SSL证书的方法
01-10
一、先使用JDK自带的加密工具...在tomcat的安装根目录下新建文件夹ssl,将秘钥文件复制到该文件夹中,打开conf文件夹下的server.xml文件,将找到下面的一段注释掉的内容: <!-- <Connector port=8443 protocol=
Tomcat6.X SSL配置(转)
xy_mouse的博客
12-11 134
1. 概述 通常,在安全网络通信中会启用SSL(Secure Socket Layer)来保护交互数据的安全性,由于SSL是认证型协议(通信双方或一方需要出示安全认证证书才可以建立连接),所以会涉及到数字证书及证书认证的内容。 对于Tomcat服务器来说,通过HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议来构建安全的HTTP...
tomcat6+SSL配置
jasonking412的专栏
09-14 188
一、准备工作 1). 安装JDK 1.5 或更高版本, 并配置JAVA_HOME 环境变量; 2). 安装tomcat 6 ; 二、配置过程 1.生成 server key : 以命令行方式切换到目录%tomcat_HOME%,在command命令行输入如下命令(jdk1. 一、准备工作     1). 安装JDK 1.5 或更高版本, 并配置JAVA_HOME 环境变量;     2)...
Tomcat6配置SSL
03-15
NULL 博文链接:https://evaima.iteye.com/blog/326708
Tomcat6配置使用SSL双向认证
12-06
Tomcat6配置使用SSL双向认证
tomcat6.0.6进行ssl配置
06-12
tomcat6.0.6进行ssl配置tomcat6ssl配置
Tomcat6.0配置SSLSSL认证详解
wyang19850517的博客
11-26 331
[color=red]Tomcat6.0配置SSL[/color] 一、为了节约时间,我这里就只根据我的配置过程进行描述,读者根据各自情况自己分析。 1、在命令行中进入%CATALINA_HOME%/bin目录下执行以下命令: (1)%CATALINA_HOME%/bin> keytool -genkey -alias tomcat -keyalg RSA -keypass changeit...
tomcat6启用SSL_证书_tomcat6ssl_Tomcat6SSL;_
10-01
Tomcat6开启SSL配置的详细说明,及服务器生成证书
Tomcat6.X SSL配置(证书及配置文件)
06-25
该资源为《Tomcat6.X SSL配置》一文涉及到的证书及配置文件。 文章请参见:http://blog.163.com/haizai219@126/blog/static/44412555201052332951865/
Tomcat6 SSL配置文档
04-01
NULL 博文链接:https://xuzhfa123.iteye.com/blog/1405765
Tomcat6.0 SSL配置
黑鹰
06-19 579
http://blog.163.com/haizai219@126/blog/static/44412555200962733028452/   1. 参考: Tomcat 6.0 自带的文档docs/ssl-howto.html,详细介绍了配置过程。 2. 目的:        以下详细描述配置过程,仅作为备忘录。 3. 备忘录: Step1,安装tomcat 6.0.1
Tomcat 6中配置SSL双向认证
chengjiansir的博客
04-26 72
举例如下: 在Tomcat6配置SSL双向认证是相当容易的,本文将介绍如何使用JDK的keytool来为Tomcat配置双向SSL认证。 系统需求: JDK5.0 Tomcat6.0.16 第一步:为服务器生成证书 使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件存放在“C:\tomcat.keys...
TOMCAT 6中SSL证书遇到的问题
jackyrongvip的专栏
10-11 258
今天刚好遇到了,和 http://www.cnblogs.com/GYoungBean/archive/2013/03/20/2971045.html 说的一样: 很奇怪的问题,同样的tomcat版本(6.0.36),最基本的ssl配置。在win7-32bit专业版下没有任何问题,而在win-64bit旗舰版下报“No Certificate file specified or inval...
Tomcat 6的SSL证书配置
fangzheng_2009的专栏
06-17 772
一、配置证书 在命令行 windows使用cmd,linux在命令行模式下创建证书 1.服务器中生成证书:(注:生成证书时,CN要和服务器的域名相同,如果在本地测试,则使用localhost) keytool -genkey -alias tomcat -keyalg RSA -keystore c:/mykeystore -dname "CN=localhos
tomcat如何配置ssl证书
最新发布
09-24
Tomcat配置SSL证书可以按照以下步骤进行操作: 1. 打开Tomcat服务器的安装目录,找到其中的“server.xml”文件。 2. 在“server.xml”文件中找到以下参数:<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true"> <SSLHostConfig> <Certificate certificateKeystoreFile="conf/localhost-rsa.jks" type="RSA" /> </SSLHostConfig> </Connector> 3. 将上述参数替换为以下内容:<Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="C:/rogram Files/Apache Software Foundation/Tomcat 9.0/conf/tomcat.keystore" keystorePass="123456" clientAuth="false" sslProtocol="TLS"/> 4. 保存“server.xml”文件,并重启Tomcat服务器。 完成以上步骤后,Tomcat服务器将会使用配置SSL证书进行安全通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值