tomcat中配置SSL双向认证

最新推荐文章于 2023-04-26 21:00:56 发布
最新推荐文章于 2023-04-26 21:00:56 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanxuegui2008/article/details/8039841
版权

1、为服务器生成自签名证书

使用keytoolTomcat生成证书,假定目标机器的域名是“localhost”,keystore文件存放在当前目录的tomcat-ssl.keystore文件里,口令为“tomcat”,使用如下命令生成自签名证书并存储于tomcat-ssl.keystore密钥库文件:

keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650  -keystore tomcat-ssl.keystore -dname "CN=localhost,OU=sse,O=bjut,L=beijing,ST=beijing,c=cn" -storepass tomcat -keypass tomcat

如果Tomcat所在服务器的域名不是“localhost”,应改为对应的域名,如“www.sina.com.cn”,否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost

2、为客户端生成自签名证书

下一步是为浏览器生成证书,以便让服务器来验证它。为了能将证书库顺利导入至IEFirefox,证书库格式应该是PKCS12,因此,使用如下命令生成(PKCS12 KeyStores 不支持其他存储和密钥口令。忽略用户指定的 -keypass 值):

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -validity 3650  -keystore my.p12 -dname "CN=mykey,OU=sse,O=bjut,L=beijng,ST=beijing,c=cn" -storepass mykey1


对应的证书库存放在“my.p12”,客户端的CN可以是任意值。稍候,我们将把这个“my.p12”证书库导入到IEFirefox中。

3、让服务器信任客户端证书

由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件,使用如下命令:

keytool -export -v -file my.cer -alias mykey -keystore my.p12 -storetype PKCS12 -storepass mykey1


通过以上命令,客户端证书就被我们导出到“my.cer”文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:

keytool -import -v -file my.cer -keystore tomcat-ssl.keystore -storepass tomcat

通过list命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书: 

keytool -list -keystore tomcat-ssl.keystore -storepass tomcat


4、配置Tomcat服务器

打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

    maxThreads="150" scheme="https" secure="true"

    clientAuth="true" sslProtocol="TLS"

    keystoreFile="tomcat-ssl.keystore" keystorePass="tomcat"

    truststoreFile="tomcat-ssl.keystore" truststorePass="tomcat"/>

应用程序的web.xml可以加上这句话: 

<security-constraint>

     <!-- Authorization setting for SSL -->

     <web-resource-collection >

        <web-resource-name >SSL</web-resource-name>

        <url-pattern>/*</url-pattern>

     </web-resource-collection>

     <user-data-constraint>

       <transport-guarantee>CONFIDENTIAL</transport-guarantee>

     </user-data-constraint>

</security-constraint>

5、浏览器导入证书库

如果果设置了clientAuth="true",则需要强制验证客户端证书。双击“my.p12”即可将证书库导入至IE.导入证书库后,即可启动Tomcat,用IE进行访问。

如果需要用FireFox访问,则需单独为FireFox导入指定证书库。

yuanxuegui2008
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用keytools为tomcat 7配置ssl双向认证的方法
08-31
双向认证和单向认证原理基本差不多,只是除了客户端需要认证服务端以外,增加了服务端对客户端的认证,下面这篇文章主要介绍了利用keytools为tomcat 7配置ssl双向认证的方法,需要的朋友可以借鉴,下面来一起看看吧...
Tomcat配置SSL双向认证
03-23
Tomcat配置SSL双向认证简单实例
Tomcat 配置https 踩坑
qq_17031103的博客
07-08 1751
tomcat 配置https 失败异常
解决tomcat服务器下,只能通过localhost,而不能通过127.0.0.1或者本地ip地址访问的问题
w36680130的博客
12-06 879
解决tomcat服务器下,只能通过localhost,而不能通过127.0.0.1或者本地ip地址访问的问题
https可以访问本地localhost不能访问域名
weixin_42005941的博客
05-25 2231
1 去阿里云申请免费的SSL证书 2 修改tomcat service.xml文件(根据证书提示) 3注意: 打开443端口 挖坑:可能有些机房没有打开443 只是服务器开了443 所以如果遇见本地https://localhost可以访问改成域名不行 一定是服务器或者机房端口没开 ...
Keytool生成数字证书 + Tomcat https 配置
幽灵 逐梦--专栏
08-16 6446
参考:http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html            https://baike.baidu.com/item/https/285356            https://www.cnblogs.com/xmqa/p/7601635.html HTTPS(全称:Hyper Text ...
警告: PKCS12 密钥库不支持其他存储和密钥口令正在忽略用户指定的-keypass值.
0x3F3F3F3F
04-26 971
【KeyStore的password】和【KeyAlias的password】改为相同密码。
Tomcat6配置使用SSL双向认证
12-06
Tomcat6配置使用SSL双向认证
apache-tomcat配置SSL双向认证
02-26
本文档基于JDK+apache-tomcat运行环境进行客户端和服务器端https配置,即SSL双向认证配置
Tomcat6 配置SSL双向认证通讯
07-25
Word文档,图文介绍如何配置Tomcat6,实现SSL双向认证通讯
Key was created with errors: Warning: JKS 密钥库使用专用格式。android Studio打包报错
01-03
打包时,提示下面的这个错误的解决方法: Key was created with errors: Warning: JKS 密钥库使用专用格式。建议使用 “keytool -importkeystore -srckeystore E:\lvchuang\lvchuang.jks -destkeystore E:\lvchuang\lvchuang.jks -deststoretype pkcs12” 迁移到行业标准格式 PKCS12。 谈出来的图片如图: 解决的方法其实很简单,在控制台上输入下面的一段代码即可: keytool -genkey -alias test -keypass 123
PKCS12与JKS格式转换器
08-29
PKCS12与JKS格式转换器,提供pkcs12文件转换成jks文件,可以选择源文件位置,和转换后文件存储位置。
JKS 密钥库使用专用格式。建议使用 “keytool -importkeystore -srckeystore E:\xxxxxx- pkcs12” 迁移到行业标准格式PKCS12
01-07
错误: Key was created with errors: Warning: JKS 密钥库使用专用格式。建议使用 “keytool -importkeystore -srckeystore E:\androidstudio\androidstudio_work\CommonDemo\app\fast_keystore.jks -destkeystore E:\androidstudio\androidstudio_work\CommonDemo\app\fast_keystore.jks -deststoretype pkcs12” 迁移到行业标准格式 PKCS12。 解决办法: 在控
Tomcat配置HTTPS证书认证
05-20
Tocmat下的HTTPS认证,折腾了一天了,终于弄成了,记录下!
Android Studio创建JKS签名遇到的坑
adojayfan的博客
08-01 4190
Android Studio创建应用签名时,会碰到各种各样的错误。在此记录一下解决过程。
Android签名jks转pkcs12(JKS 密钥库使用专用格式。建议使用 “keytool -importkeystore xx pkcs12“ 迁移到行业标准格式 PKCS12)
xiaoerye的专栏
03-02 7416
有遇到如下error的朋友,可以阅读此文解决: 1、JKS 密钥库使用专用格式。建议使用 “keytool -importkeystore -srckeystore E:\eeee -destkeystore E:\eeee -deststoretype pkcs12” 迁移到行业标准格式 PKCS12。 2、目标 pkcs12 密钥库具有不同的 storepass 和 keypass。请在指定了 -destkeypass 时重试。 3、PKCS12 密钥库不支持其他存储和密钥口令。正在忽略用户指定的-de
【Android 教程系列第 25 篇】如何使用 Android Studio 生成 keystore 签名文件
“Allen Su”的博客
01-03 8649
如何使用 Android Studio 生成 keystore 签名文件
2023年加湿器市场分析.pptx
最新发布
04-18
行业分析报告
Skeleton-Low Poly 低多边形骨架模型Unity插件美术资源包unitypackage
04-18
Skeleton-Low Poly 低多边形骨架模型Unity插件美术资源包unitypackage 支持Unity版本2019.4.29或更高 直接的低多边形骨架。 特点: - 低多边形(9k tris,8.5) - 适用于 Unity 5 及更高 版本 - 完全装配 - 包括一个 fbx 格式的模型 - PBR 纹理 - 高清纹理
tomcat ssl双向认证
07-29
要实现Tomcat SSL双向认证,首先需要在Tomcat服务器上配置SSL连接。在服务器端,需要生成或购买一个有效的服务器SSL证书,并将其配置TomcatSSL Connector。这样,服务器就可以使用该证书来进行加密和解密操作...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值