JDK自带工具keytool生成ssl证书搭建tomcat+https协议

最新推荐文章于 2024-05-17 01:22:51 发布
最新推荐文章于 2024-05-17 01:22:51 发布
阅读量3.8k 收藏 4
点赞数
分类专栏: java

文章出自如下两遍博文。
http://blog.csdn.net/p793049488/article/details/53422195
https://www.cnblogs.com/zhangzb/p/5200418.html

1、什么是HTTPS?

HTTPS其实是有两部分组成:HTTP + SSL / TLS,
也就是在HTTP上又加了一层处理加密信息的模块,并且会进行身份的验证。
问题:
    Firebug和postman之类的浏览器调试工具,为什么获取到的是明文?
解答:
    SSL是对传输的数据进行加密,针对的是传输过程的安全。 firebug之类的浏览器调试工具,
因为他们得到的是客户端加密之前/解密之后的数据,因此是明文的。

2、什么是自签名证书?

就是自己生成的证书,并不是官方生成的证书。
除非是很正式的项目,否则使用自己签发的证书即可,因为官方生成证书是要花钱滴。

3、使用JDK自带工具KeyTool 生成自签发证书 搭建tomcat+https协议

1、生成服务器证书

CMD进入JDK安装目录:
这里写图片描述
生成服务器证书:

keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:/keys1/tomcat.keystore -validity 365

这里写图片描述

参数说明:
genkey生成方式,对称或者非对称
-alias tomcat(别名)
-keypass 123456(别名密码)
-keyalg RSA(算法)
-keysize 1024(密钥长度)
-validity 365(有效期,天单位)
-keystore D:/keys1/tomcat.keystore(指定生成证书的位置和证书名称)
-storepass 123456(获取keystore信息的密码)

注:以上的keystore密码建议设置成一致,避免混乱。这里设置测试密码为123456。输入密码后,提示输入名字与姓氏,这里输入浏览器访问域名。其他项直接回车跳过即可。D:/keys1/ 目录需要提前手动创建好,否则会生成失败

2、生成客户端证。
keytool -genkey -v -alias clientkey -keyalg RSA -storetype PKCS12 -keystore  D:/keys1/clientkey.p12

这里写图片描述

3、这里服务端跟客户端生成完证书,双向需要认证。首先,让服务器信任客户端证书:

由于不能直接将PKCS12格式的证书库导入,所以必须先把客户端证书导出为一个单独的CER文件。

keytool -export -alias clientkey -keystore  D:/keys1/clientkey.p12 -storetype PKCS12 -storepass 123456 -rfc -file  D:/keys1/clientkey.cer

这里写图片描述
注:alias的别名clientkey必须与客户端证书别名一致。storepass为上述设置的密码。

4、将客户端证书导入服务器证书库。(服务器信任客户端证书)
keytool -import -v -file  D:/keys1/clientkey.cer -keystore D:/keys1/tomcat.keystore

这里写图片描述

5、客户端信任服务器证书:
keytool -keystore D:/keys1/tomcat.keystore -export -alias tomcat -file D:/keys1/tomcat.cer

这里写图片描述

至此证书已经生成。

6、本地安装证书。

双击tomcat.cer–>安装证书–>证书存储选择“受信任的根证书颁发机构”–>后面根据提示安装即可
这里写图片描述

7、配置tomcat种server.xml

配置server.xml中8443端口。观察tomcat中端口配置:

这里有配置redirectPort=”8443” 。猜测这里如果添加了SSL/TLS证书后,利用http协议8080端口访问将自动重定向到8443端口。所以这里修改8443为TLS认证协议:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
               keystoreFile="D:/keys1/tomcat.keystore" keystorePass="123456"
               ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_ 
                CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_C 
                BC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RS 
                A_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
              />

属性说明:
clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证
keystoreFile:服务器证书文件路径
keystorePass:服务器证书密码
truststoreFile:用来验证客户端证书的根证书,此例中就是服务器证书
truststorePass:根证书密码
ciphers:设置这个参数,避免chrome浏览器由于安全机制过滤,提示“服务器的瞬时 Diffie-Hellman 公共密钥过弱”。

8、配置工程web.xml,添加ssl认证,将http请求全部需要ssl认证:

在 tomcat /conf/web.xml 中的 后面加如下配置

    <login-config>
        <!-- Authorization setting for SSL -->
        <auth-method>CLIENT-CERT</auth-method>
        <realm-name>Client Cert Users-only Area</realm-name>
    </login-config>
    <security-constraint>
        <!-- Authorization setting for SSL -->
        <web-resource-collection>
            <web-resource-name>SSL</web-resource-name>
            <url-pattern>/*</url-pattern>
        </web-resource-collection>
        <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>

到这所有配置已完成。下面来进行测试:

9、测试

由于我们在生成客户端、服务端证书中提示输入名字与姓氏,这里输入浏览器访问域名(www.test.com)。所以本地测试,要配置windows机器的host文件,将本地ip映射到可访问的域名。找到C:\Windows\System32\drivers\etc目录下的hosts文件编辑:
这里写图片描述

好了,开始启动tomcat,访问项目:
这里写图片描述

测试成功!!

注:如果使用分布式工程。需要将另一个tomcat访问端口重定向redirectPort=”8443”进行修改。比如修改为8444,此时ssl配置Connector 也应改为8444。否则将提示端口被占用。

沸羊羊一个
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java 生成https证书_java生成Https证书,及证书导入的步骤和过程
weixin_31921223的博客
02-12 1690
原文参考:http://www.cnblogs.com/fron/p/https-20170111.html以下是相关的TomcatJDK和Windows环境:Tomcat版本:tomcat-7.0.55JDK版本:jdk1.6.0目录所在的位置:Serve的目录:D:\server\tomcat-7.0.55\JDK的目录:D:\jdk\jdk1.6.01、生成服务器的密匙文件casserve...
通过jdk自制https证书并配置到nginx并配置http2
lgq2016的博客
10-26 706
这里使用自己生成的免费证书生成证书过程中:【你的名字】对应网站域名或IP。
JDK生成ssl证书
11-29
JDK自带工具生成ssl证书,经过上述操作,使用HTTPS 端口为8443 进行访问的时候 就是经过SSL信息加密,不怕被截获了。 通话的双方,必须是都拥有证书的端,才能进行会话,换句话说,就是只有安装了咱证书的客户端,才能与服务器通信。
Tomcat 配置https证书
最新发布
2401_84715997的博客
05-17 444
它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数字签名)自我认证(用户向别的用户/服务认证自己)或数据完整性以及认证服务。然后安装提示输入,但需要注意的是 名字与姓氏 那个是填写域名的。密钥库的密码至少必须6个字符,可以是纯数字或者字母或者数字和字母的组合等等,其他的可以不填。-keystore 表示密钥库的路径及名称,不指定的话,默认在操作系统的用户目录下生成一个".keystore"的文件。-keyalg 表示密钥算法名称,本例中的采用通用的RAS加密算法;
使用KeytoolJDK添加https证书信任
热门推荐
haozhongjun的专栏
12-08 1万+
原文地址: http://www.cnblogs.com/wupher/archive/2012/08/05/2623561.html https://www.cnblogs.com/langtianya/p/3334493.html 在浏览器中访问https是件挺方便的事,与访问http站点相比,也就是地址栏上多个“s”。但是,在java平台上访问https,可就麻烦多
tomcat配置httpsjdk生成免费证书
weixin_45579264的博客
03-10 450
tomcat配置httpsjdk生成免费证书 1、先生成证书生成证书前,先验证本地是否正确配置jdk环境变量,如果jdk环境变量配置正确,在命令行程序输入生成证书的命令。 keytool -genkey -alias tomcat -keyalg RSA -keystore "D:\temp\certificate\freeHttps.keystore" 生成证书的步骤: 证书生成完成后,在对应的目录查看下是否生成证书。 2、然后修改tomcat配置文件server.xml,打开server.xml
jdk中密钥和证书管理工具keytool常用命令详解
09-04
`keytool`是Java开发工具包(JDK自带的一个重要的命令行工具,主要用于管理和维护密钥对(公钥和私钥)以及相关的数字证书。这些密钥和证书在网络安全中起到至关重要的作用,比如SSL/TLS加密、数字签名、身份验证...
Javascript+tomcat+ssl.docx
12-18
"Javascript+Tomcat+SSL" 以下是相关知识点的总结: Java 相关知识点 1. Java 运行环境安装:在安装 JDK 时,需要创建安装路径,解压缩包,并配置环境变量,包括 JAVA_HOME、CLASSPATH 和 PATH 变量。 2. Java ...
Tomcat 开启基于httpsSSL配置
05-28
Tomcat 开启基于 HTTPSSSL 配置 在互联网时代,安全性问题...配置 TomcatHTTPS 需要具备 SSL 证书生成 JKS 格式证书,并在 Tomcat 中配置 HTTPS。这样,我们就可以使用 HTTPS 协议,保护用户的隐私和数据。
Tomcat配置SSL证书的方法
01-10
一、先使用JDK自带的加密工具生成一对秘钥文件 进入JDK的bin目录下,打开命令行工具,输入 代码如下:keytool -genkeypair -alias “tomcat” -keyalg “RSA” -keystore “f:\tomcat.keystore”  这样就会生成...
springboot下配置SSL证书HTTPS访问
07-17
生成 Keystore 之后,将生成一个名为 keystore.jks 的文件,该文件将存储 SSL 证书Keystore 中存储了公钥、私钥和证书链。 SpringBoot 配置 SSL 在 SpringBoot 中,需要在 application.properties 文件中添加...
Linux环境下Tomcathttps的配置
08-07
NULL 博文链接:https://xxw0810.iteye.com/blog/2101329
使用JDK自带工具keytool生成SSL证书及配置Tomcat使用https协议
TivonaLH的博客
08-09 1709
安全检测报:用户凭证以明文方式传输错误 第一步:生成SSL证书 1.打开CMD命令行工具,cd到C盘根目录或者是jdk的bin目录下 2.使用keytool命令生成服务端证书 keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/t...
tomcat设置--http服务转https(自签名证书
yzy199391的博客
04-08 5229
jdkkeytool工具使用生成证书 1、为服务器生成证书 2、为客户端生成证书 3、服务器添加客户端证书信任 1)将.p12格式的证书导出为CER文件,方便导入证书库中: 2)将client.cer导入到服务器的证书库中,添加为一个信任证书: 4、客户端添加服务器证书信任 1)将tomcat.keystore导出为cer文件 2)双击产生的server.cer进行证书安装 3)将证书填...
【JAVA/HTTPS】JAVA生成ks,证书tomcat配置HTTPS访问
三也_攻城狮
01-18 1661
参照文章,生成keystore和导出证书 http://blog.csdn.net/simonchi/article/details/44170875 tomcat配置 访问成功 火狐 IE
tomcat6.0+jdk1.6 ssl单向配置
每天积累一点,一年后你会发现,自己变化很大
01-26 1130
1,通过jdk自带keytool生成.keystore文件执行下面的命令: /usr/bin/keytool -genkey -alias xiaomaodan -keyalg RSA -validity 36500执行上面的命令后需要输入相关的证书信息 Enter keystore password: Re-enter new password: What is your first
linux 服务器中(jdk1.8以下)请求HTTPS接口,需要证书的解决方法(安装证书
水军独立团的博客
07-11 3839
第一步:首先获取HTTPS网站的证书------ 打开浏览器输入https://的网站,如果没有相关证书,可以根据提示从浏览器中下载下来,一般保存为*.cer文件。 第二步:将步骤一的*.cer文件拷贝到'%JAVA_HOME%\jre\lib\security\cacerts'路径下 第三步:配置环境变量 vi /etc/profile i插入 添加以下三句export到文件最...
tomcat实现https
u012970850的专栏
09-08 1万+
今天工作中遇到需要调用对方https接口,既然碰到了就来操作一下到底看看是怎么回事。 第一步找到 jdk----bin----keytool.exe 打开 执行下面的命令创建一个证书库(keystore和jks的后缀文件都为证书库) keytool -keygen -alias httpsweb -keypass changeit  -keysize 1024 -keyalg RSA -val...
JDK自带工具keytool生成ssl证书具体操作
05-05
可以按照以下步骤使用 keytool 工具生成自签名的 SSL 证书: 1. 打开命令行窗口,并导航到 JDK 的 bin 目录下。 2. 输入以下命令以生成 SSL 证书: ```bash keytool -genkey -alias mydomain -keyalg RSA -keystore keystore.jks -keysize 2048 ``` 其中,`mydomain` 是证书别名,`keystore.jks` 是证书库的名称。 3. 在运行上述命令后,会提示输入一些信息,如下所示: ```bash What is your first and last name? [Unknown]: example.com What is the name of your organizational unit? [Unknown]: IT What is the name of your organization? [Unknown]: Example Corp What is the name of your City or Locality? [Unknown]: Anytown What is the name of your State or Province? [Unknown]: CA What is the two-letter country code for this unit? [Unknown]: US Is CN=example.com, OU=IT, O=Example Corp, L=Anytown, ST=CA, C=US correct? [no]: yes Enter key password for <mydomain> (RETURN if same as keystore password): ``` 按照提示输入相关信息,其中 `CN`(Common Name)应该与您的域名相匹配。 4. 然后,系统会提示输入密钥库密码和密钥密码。这两个密码应该是不同的。如果您希望两个密码相同,可以按回车键跳过第二个密码的设置。 5. 生成证书后,可以使用以下命令查看证书的详细信息: ```bash keytool -list -v -keystore keystore.jks ``` 这将输出证书的详细信息,包括证书别名、证书类型、证书序列号、颁发者、有效期等。 6. 最后,将生成证书用于您的应用程序中。 注意:在生产环境中,应该使用受信任的第三方机构颁发的证书。这些证书可以通过购买或免费获取。自签名的证书仅适用于开发和测试环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值