自己使用keytool生成证书 和 购买 商业SSL证书,然后并配置Tomcat 的 https

最新推荐文章于 2023-08-14 14:58:31 发布
最新推荐文章于 2023-08-14 14:58:31 发布
阅读量731 收藏 1
点赞数 1
分类专栏: 服务器搭建 文章标签: java https nginx tomcat ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yudianxiaoxiao/article/details/109033619
版权

一、SSL证书简介

要想使用https, 首先,我们需要有SSL证书,证书可以通过两个渠道获得:

  • 1.自己生成

虽然安全性不是那么高,但胜在成本低.

目前证书有以下常用文件格式:JKS(.keystore),微软(.pfx),PEM(.key + .crt)。其中,tomcat使用JKS格式,nginx使用PEM格式.

  • 2.公开可信认证机构

例如CA,但是申请一般是收费的。

二、自己生成

JDK自带了一个生成证书 keytool ,目录在 /bin 下面

1、生成证书

输入:(如果你没有配环境变量需要cd到bin目录执行,否则做不到keytool命令)

keytool -genkey -v -alias HaC -keyalg RSA -validity 3650 -keystore ~/cert/HaC.keystore
  • alias: 别名 这里起名HaC
  • keyalg: 证书算法,RSA
  • validity:证书有效时间,10年
  • keystore:证书生成的目标路径和文件名,替换成你自己的路径即可,我定义的是~/Lee/HaC.keystore

然后随便输入,但是密码要记得:

[root@VM-8-8-centos ~]# keytool -genkey -v -alias HaC -keyalg RSA -validity 3650 -keystore ~/cert/HaC.keystore
Enter keystore password:
Re-enter new password:
What is your first and last name?
  [Unknown]:  a
What is the name of your organizational unit?
  [Unknown]:  b
What is the name of your organization?
  [Unknown]:  c
What is the name of your City or Locality?
  [Unknown]:  d
What is the name of your State or Province?
  [Unknown]:  e
What is the two-letter country code for this unit?
  [Unknown]:  f
Is CN=a, OU=b, O=c, L=d, ST=e, C=f correct?
  [no]:  y

Generating 2,048 bit RSA key pair and self-signed certificate (SHA256withRSA) with a validity of 3,650 days
        for: CN=a, OU=b, O=c, L=d, ST=e, C=f
Enter key password for <HaC>
        (RETURN if same as keystore password):
Re-enter new password:
[Storing /root/cert/HaC.keystore]

Warning:
The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore /root/cert/HaC.keystore -destkeystore /root/cert/HaC.keystore -deststoretype pkcs12".

2、其他操作,可以不用理会

导出证书:

123456是我在上面输入的密码。

keytool -exportcert -rfc -alias HaC -file  ~/cert/HaC.cer -keystore  ~/cert/HaC.keystore -storepass 123456

[root@VM-8-8-centos apache-tomcat-8.0.53]# keytool -exportcert -rfc -alias HaC -file  ~/cert/HaC.cer -keystore  ~/cert/HaC.keystore -storepass 123456      

Certificate stored in file </root/cert/HaC.cer>

导入到jvm的库

-storepass changeit 表示默认密码是 changeit ,changeit 是jvm的默认密码。不是上面的123456。

keytool -import -v -trustcacerts -alias HaC -file ~/cert/HaC.cer -storepass changeit -keystore /var/www/web/jdk/jdk1.8.0_261/jre/lib/security/cacerts

删除

keytool -delete -alias testkey -keystore /var/www/web/jdk/jdk1.8.0_261/jre/lib/security/cacerts -storepass changeit

查看证书

keytool -list -v -alias HaC -keystore /var/www/web/jdk/jdk1.8.0_261/jre/lib/security/cacerts -storepass changeit

3、配置Tomcat

我本地使用的tomcat版本是tomcat-8.0.53

1、修改端口

tomcat的默认https端口是8443,而https的端口是443,那需要把8443改一下,如果不改,你可以通过 https://www.xxx.cn:8443 这样访问,但是就怪怪的。

找到tomcat目录下的conf/server.xml文件,修改:

  <Connector port="80" protocol="HTTP/1.1"  
             connectionTimeout="20000" 
             redirectPort="443" />

表示80端口跳转到443端口,即http的请求都转发到https

这个没有用到,也改了:

  <!-- Define an AJP 1.3 Connector on port 8009 -->

    <Connector port="8009" protocol="AJP/1.3" redirectPort="443" />

接着把这段注释放开:

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"

               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS" keystoreFile="/root/cert/HaC.keystore" keystorePass="123456"/>

keystoreFile是你的证书路径,keystorePass的密码是你之前输入的密码。这里的port改成 port=“443” 。

2、自动跳转

http的请求都转发到https

找到tomcat目录下的conf/web.xml文件,末尾 加入:

  <!-- ====================自动跳转——start ===================== -->
  <security-constraint>
    <web-resource-collection >
              <web-resource-name >SSL</web-resource-name>
              <url-pattern>/*</url-pattern>
       </web-resource-collection>                             
       <user-data-constraint>
       <transport-guarantee>CONFIDENTIAL</transport-guarantee>
       </user-data-constraint>
  </security-constraint>
<!-- ====================自动跳转——end ===================== -->
  <welcome-file-list>
        <welcome-file>index.html</welcome-file>
        <welcome-file>index.htm</welcome-file>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>

重启Tomcat,访问 https://81.71.16.134/ 或者 http://81.71.16.134/

image-20201012095954123

提示证书存在问题。然后点击 继续浏览,就可以使用HTTPS访问了。

给浏览器安装证书:

img

浏览器 一样提示 不安全的连接。没办法了,浏览器无法信任自定义的证书。

三、使用商用证书

商用的SSL实在是太贵了,比如说赛门铁克、亚信,个人一般都难以承受,let’s encrypt 是一个免费的SSL组织,申请后有3个月的期限,到期可以续杯。

2.1、申请证书

腾讯云 可以免费申请 1年的免费证书,我这里使用腾讯云为例子:

img

申请完毕,点击下载 , 解压看到这个压缩包有几种服务器的不同类型证书。我们是Tomcat的服务器,就把Tomcat的jks证书上传到服务器。

img

2.2、tomcat配置https

替换server.xml的jks证书路径和密码即可:

<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
           
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
           
               clientAuth="false" sslProtocol="TLS" keystoreFile="/root/cert/www.baimuxym.cn.jks" keystorePass="i24vj6841f1"/>
2.3、设置http自动跳转到https

把http的请求都转发到https

找到tomcat目录下的conf/web.xml文件,末尾 加入:

 <!-- ====================自动跳转——start ===================== -->
  <security-constraint>
    <web-resource-collection >
              <web-resource-name >SSL</web-resource-name>
              <url-pattern>/*</url-pattern>
       </web-resource-collection>                             
       <user-data-constraint>
       <transport-guarantee>CONFIDENTIAL</transport-guarantee>
       </user-data-constraint>
  </security-constraint>
<!-- ====================自动跳转——end ===================== -->
  <welcome-file-list>
        <welcome-file>index.html</welcome-file>
        <welcome-file>index.htm</welcome-file>
        <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>

然后重启Tomcat。访问 https://baimuxym.cn/

现在就不会提示证书不安全了。

四、设置自定义的首页

上面访问了域名,跳到了tomcat的首页,那要跳转到我们自定义的网站怎么办呢?

找到tomcat目录下的conf/server.xml文件,在标签之间添加上:

<Context path="" docBase="/var/www/web/HaCresume/" debug="0" reloadable="true"/>

表示Tomcat的根目录就是这个了,不再是webapps下面了。

找到tomcat目录下的conf/web.xml文件,修改首页:

    <welcome-file-list>
        <welcome-file>HaCresume.html</welcome-file>
        <welcome-file>index.htm</welcome-file>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>

表示我的 首页 就是 /var/www/web/HaCresume/HaCresume.html 了。

然后重启Tomcat。访问 https://baimuxym.cn

现在就不会提示证书不安全了。完美!

醋酸菌HaC
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
windows下使用keytool生成ssl生成证书并在tomcat7中配置
xggnoh的博客
07-12 4147
一:生成ssl证书 首先需要生成一个ssl证书,直接打开cmd,默认已经配置jdk的环境变量,输入: keytool -genkey -alias tomcat -keyalg RSA -keystore 目录/tomcat.keystore 其中-genkey 指生成keystore ,-alias 指别名,-keyalg 指使用密算法,-keystore 后面跟上生成的keys
亲测有效 tomcat配置https自签名证书keytool生成
weixin_44530708的博客
03-30 1011
亲测有效 tomcat配置https自签名证书keytool生成
JDK中利用keytool创建自签名证书
03-20
NULL 博文链接:https://yaodaqing.iteye.com/blog/790349
keytool生成证书
无相
12-16 3520
1.创建一个证书C:/jdk1.5.0_04/bin>keytool -genkey -alias xahCA -keyalg RSA -keystore dyfCALib输入keystore密码:  admindyf您的名字与姓氏是什么?  [Unknown]:  徐吖禾您的组织单位名称是什么?  [Unknown]:  天河您的组织名称是什么?  [Unknown]:  天河有限公司您所在的城
SSL证书购买以及申请】
Magize的博客
04-22 341
SSL证书购买与申请
如何购买配置SSL证书将网站升级为https
SSL加密技术
02-23 251
http和https区别的关键点是SSL证书SSL证书在Web服务器和浏览器之间对发送或接收的数据进行密。数据密的好处是可确保没有有害的恶意软件、病毒甚至安全威胁潜入最终用户的网络。 那么如何购买配置SSL证书将网站升级为https呢? 市场是有各种SSL证书品牌和SSL证书类型,您可以根据您的网站要求选择任何一种,也可以联系CA机构帮您匹配最合适的SSL证书。申请配置SSL证书的简单步骤如下: 1)准备具有正确名称,位置和国家/地区详细信息的WHOIS记录。 2)在服务器上生成证书签名请求(
自建keystore 再下载网页证书,导入自建keystore,最后用此keystore 读取https网页(java读取https的4种方法和详细认证网页证书
m0_59802969的博客
09-09 3957
java
keytool生成证书,双向SSL认证配置的方法
12-01
keytool生成证书,双向SSL认证配置的方法,以Tomcat举例。包含步骤:一、为服务器生成证书;二、为客户端生成证书;三、让服务器信任客户端证书;四、让客户端信任服务器证书
详解如何给Tomcat配置Https/ssl证书
09-30
1. 使用keytool生成Keystore和自签名证书。 2. 将Keystore文件放入Tomcat的“conf”目录。 3. 修改“server.xml”配置文件,启用HTTPS连接器并指定Keystore信息。 4. 重启Tomcat并测试HTTPS连接。 请注意,虽然自...
Tomcat配置SSL证书的方法
09-30
通常情况下,企业会从证书颁发机构(CA)购买证书,但也可以自行生成证书。对于测试或开发环境,我们可以使用Java自带的keytool工具生成自签名的证书生成秘钥文件的步骤如下: 1. 进入JDK的bin目录,例如:C:\...
证书工具KeyTool1.6
05-16
KeyTool1.6,数字证书工具、服务器证书管理工具。用于数字证书私钥公钥管理。可新增私钥文件。
keytool 错误: java.io.IOException: Invalid keystore format
最新发布
weixin_52263557的博客
08-14 788
这句话的意思是:创建了一个名为android.keystore的别名也为android.keystore的采用RSA密算法的有效期为100年的证书文件(由于之前我已经生成了android.keystore,所以现在根据参数说明改文件名等)版权声明:本文为CSDN博主「abbiz」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/abbiz/article/details/113681062。这个就可以了, 纯记录一下。
Tomcat 配置 https
深空深蓝的博客
05-05 2074
使用 keytool 生成证书 准备工作: 服务器安装 tomcat, jdk 配置好jdk的环境变量 生成服务器证书 read -p "Enter your domain [www.example.com]: " DOMAIN keytool -genkey -v \ -alias $DOMAIN \ -keyalg RSA \ -storetype PKCS12 \ -ext SAN...
Android问题解决:keytool 错误: java.io.IOException: Invalid keystore format,Android获取安全码SHA1值
小康师兄
02-21 5716
Android问题解决:keytool 错误: java.io.IOException: Invalid keystore format,Android获取安全码SHA1值
Android 获取SHA1值遇到 keytool 错误: java.io.IOException: Invalid keystore format
qq_35308053的博客
05-12 1502
Android 获取SHA1值
本地生成HTTPS证书并进行Tomcat配置
yaw的博客
07-12 1092
使用JDK自带的工具keytool生成证书,并配置Tomcat
Tomcat本机部署配置笔记
dytjack的博客
07-20 463
@[TOC]Tomcat本机部署配置笔记 Tomcat部署前配置 分为步:1.添环境变量;2.eclipse添Tomcat;3.利用jdk自带的keytool工具生成.keystore证书和.crt证书;4.修改Tomcat文件夹下的server.xml文件里的配置; 1.添环境变量 CATALINA_BASE:D:\apache-tomcat-8 CATALINA_HOME:D:\apache-tomcat-8 path中添:%CATALINA_HOME%\lib和%CATALINA_HOME%\
签名获取错误(错误: java.io.IOException: Invalid keystore format)签名中没打印出MD5信息
weixin_44669831的博客
12-23 1991
安卓签名文件 Invalid keystore format
Invalid keystore format 报错解决
热门推荐
chenya866的专栏
07-06 1万+
最近下载新版本的Android Studio,并配置使用jdk 11作为Java环境,创建签名证书提供给合作伙伴签名报以下错误:com.android.ide.common.signing.KeytoolException:Failed to read key dscg from store "D:\DirKey\dscg.jks":Invalid keystore format 经过排查问题分析,我方创建证书采用Android studio中配置的jdk版本为jdk 11,合作伙伴Android Stud
Tomcat双向SSL认证配置keytool生成证书步骤详解
本文主要介绍了如何使用keytool工具来生成证书并进行双向SSL认证的配置,以Apache Tomcat服务器为例,包括四个主要步骤:为服务器生成证书、为客户端生成证书、让服务器信任客户端证书以及让客户端信任服务器证书。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

醋酸菌HaC

请我喝杯奶茶吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值