tomcat实现SSL配置

tomcat实现SSL配置
 

 
tomcat实现SSL配置!
Tomcat双向认证的问题这么多,贴一篇我总结的Tomcat双向认证方法 
tomcat实现SSL配置  
tomcat实现SSL配置 
编辑tomcat的配置文件server.xml,去掉下面SSL Connector的注释,修改为如下: 
   
   
     
   
keystoreFile的路径是TOMCAT的安装路径下的tomcat.keystore(使用keytool生成的证书库文件) 
>keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore 
keystoreFile保存了服务器端的证书库,用于客户端认证。 
常用的配置属性: 
clientAuth 
如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书,置该值为true。  
keystoreFile 
如果创建的keystore文件不在Tomcat认为的缺省位置(一个在Tomcat运行的home目录下的叫.keystore的文件),则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。 
keystorePass 
如果使用了一个与Tomcat预期不同的keystore(和证书)密码,则加入该属性。  
keystoreType 
如果使用了一个PKCS12 keystore,加入该属性。有效值是JKS和PKCS12。  
sslProtocol 
socket使用的加密/解密协议。如果使用的是Sun的JVM,则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下,使用SSL。  
ciphers 
此socket允许使用的被逗号分隔的密码列表。缺省情况下,可以使用任何可用的密码。  
algorithm 
使用的X509算法。缺省为Sun的实现(SunX509)。对于IBM JVMS应该使用ibmX509。对于其它JVM,参考JVM文档取正确的值。  
truststoreFile 
用来验证客户证书的TrustStore文件。  
truststorePass 
访问TrustStore使用的密码。缺省值是keystorePass。  
truststoreType 
如果使用一个不同于正在使用的KeyStore的TrustStore格式,加入该属性。有效值是JKS和PKCS12。  
使用
https://localhost:8443
就可以进行ssl连接的检测 
---------------------------------------------------------------------------------------- 
上诉的SSL连接是客户端单向认证服务器,如果双向认证,将server.xml文件的Connector配置 
clientAuth="false"  
Java服务器端的证书库,服务器认证客户端时使用的根证书库。 
证书库位置:JAVA_HOME/jre/lib/security/cacerts keystore密码为:changeit 
将客户端个人证书的根证书导入服务器的证书库,就可以认证客户端。 
服务器端证书的生成: 
>keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore 
>keytool -certreq -alias tomcat -file Server.csr -keystore tomcat.keystore 生成证书请求文件 
使用openssl命令用根证书签名,再导入签名证书 
>keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore 
注意-trustcacerts选项,使用服务器的证书库认证该证书,首先要将根证书导入cacerts中。 
---------------------------------------------------------------------------------------- 
Tomcat配置SSL,我出现的问题 
我用openssl创建了CA证书,Server证书,Client证书。 
使用keytool将Server证书导入tomcat.keystore文件中,将Tomcat的配置文件server.xml关于SSL的配置设为keystoreFile=tomcat.keystore.SSL连接时,客户端认证tomcat.keystore中的服务器证书。 
将CA证书导入$JAVA_HOME\jre\lib\security\cacerts这个keystore中,用于验证客户端证书。 
在IE中安装CA证书和Client证书(pkcs12,包含私钥的个人证书形式)。 
建立SSL连接
https://localhost:8443
,连接失败。 
经过反复思量,知道问题所在,SSL连接时,客户端认证服务器时,需要验证服务器的签名,那么tomcat.keystore中就应该有Server的私钥。所以导入Server证书时,应该导入包含私钥的Server证书。
keytool命令不能导入私钥文件,可以通过在keystore中生成自签名证书,导出证书请求,用CA证书签名后,在导回的方法。 
导回签名证书的过程 
>keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore 
注意-trustcacerts选项,使用服务器的证书库认证该证书,首先要将根证书导入Java的根证书库中:JAVA_HOME\jre\lib\security\cacerts中。 
---------------------------------------------------------------------------------------- 
分析IE实现实现SSL连接的中的证书双向认证过程 
在地址栏中输入
https://localhost:8443

客户端向服务器发送hello消息,tomcat服务器侦听8443端口,收到SSL连接的hello消息,服务器发送server certificate,并且发送client certificate request.客户端IE收到server certificate后取出issuer项,和IE受信任的根证书库中证书的subject比对,找到合适的根证书认证server certificate。并且同时向服务器发送client certificate,服务器收到client certificate后,tomcat服务器查找根证书库cacerts中的根证书的suject,找到合适的根证书认证client certificate.在认证的同时完成密钥协商。客户端认证结束后,IE会弹出"安全警报"对话框,用户可以查看服务器证书,以及服务器证书是否受信任,可以选择是否继续SSL连接。
  • 0
    点赞
  • 0
    收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页
评论

打赏作者

yinhong2006

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值