SSL访问+域名

最新推荐文章于 2022-01-05 18:46:46 发布
最新推荐文章于 2022-01-05 18:46:46 发布
阅读量460 收藏
点赞数
分类专栏: https
服务器端需要设定javax.net.ssl.keyStore/ javax.net.ssl.keyStorePassword两个系统参数

而客户端需要设定javax.net.ssl.trustStore/javax.net.ssl.trustStorePassword两个系统参数


参考:

http://chrui.iteye.com/blog/1018711

http://blog.sina.com.cn/s/blog_634d74310101c7bg.html

http://utensil.github.io/tech/2011/06/11/how-to-play-with-certificates-and-keys.html

http://blog.csdn.net/guo_rui22/article/details/3947716

http://blog.csdn.net/tony1130/article/details/5134318

http://hi.baidu.com/simonjiang/item/f93771b6554bf59418469706

http://luckywnj.iteye.com/blog/1707048

http://zhouzhk.iteye.com/blog/135081

http://blog.csdn.net/baostar/article/details/4480340


证书是用java keytool生成的,如下:


1.生成服务端证书

假定目标机器的域名是“10.10.20.35”。

如果Tomcat所在服务器的域名不是“10.10.20.35”,应改为对应的域名,如“www.sina.com.cn”,否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”。

keytool -genkey -v -alias server -keyalg RSA -keystore C:/Users/zcy/Desktop/ssl/server.keystore -dname "CN=10.10.20.35,OU=Tongtech,O=Tongtech,L=SiChuan,ST=SiChuan,C=CN" -validity 3650 -storepass 123456 -keypass 123456

2.导出服务端证书
keytool -export -alias server -keystore C:/Users/zcy/Desktop/ssl/server.keystore -storepass 123456 -rfc -file C:/Users/zcy/Desktop/ssl/server.cer

3.生成客户端证书
keytool -genkey -v -alias client -keyalg RSA -keystore C:/Users/zcy/Desktop/ssl/client.keystore -dname "CN=client,OU=Tongtech,O=Tongtech,L=SiChuan,ST=SiChuan,C=CN" -validity 3650 -storepass 123456 -keypass 123456

4.导出客户端证书

由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件。

其中storepass 为client.keystore 生成过程设置的密码。

keytool -export -alias client -keystore C:/Users/zcy/Desktop/ssl/client.keystore -storepass 123456 -rfc -file C:/Users/zcy/Desktop/ssl/client.cer

5.把客户端证书加入服务端证书信任列表

通过以上命令,客户端证书就被我们导出到client.cer文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:

keytool -import -file C:/Users/zcy/Desktop/ssl/client.cer -storepass 123456 -keystore C:/Users/zcy/Desktop/ssl/server.truststore -alias client


通过list命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书:
keytool -list -keystore server.truststore


6.生成客户端信任列表 (客户端信任的服务端)
keytool -import -file C:/Users/zcy/Desktop/ssl/server.cer -storepass 123456 -keystore C:/Users/zcy/Desktop/ssl/client.truststore -alias server




1.浏览器证书(已可正常访问)

浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12。

客户端的CN可以是任意值。

keytool -validity 365 -genkeypair -v -alias browser -keyalg RSA -storetype PKCS12 -keystore C:/Users/zcy/Desktop/ssl/browser.p12 -dname "CN=browser,OU=Tongtech,O=Tongtech,L=SiChuan,ST=SiChuan,c=cn" -storepass 123456 -keypass 123456

2、从客户端证书库中导出客户端证书
keytool -export -v -alias browser -keystore C:/Users/zcy/Desktop/ssl/browser.p12 -storetype PKCS12 -storepass 123456 -rfc -file C:/Users/zcy/Desktop/ssl/browser.cer

3、将客户端证书导入到服务器证书库(使得服务器信任客户端证书)
keytool -import -v -alias browser -file C:/Users/zcy/Desktop/ssl/browser.cer -keystore C:/Users/zcy/Desktop/ssl/server.truststore -storepass 123456

keytool -list -keystore C:/Users/zcy/Desktop/ssl/server.truststore -storepass 123456


###################################################################

证书保存在服务器端,用户通过浏览器访问时,需要将证书下载保存到本地,表示信任服务器。同样浏览器中的证书也需要保存到服务器的证书库中,表明当前浏览器的证书是可信的。 
        环境:tomcat-6.0.18、jdk1.6.0_18 
        1. 为服务器生成证书 
        使用keytool为Tomcat生成证书,假定目标机器的域名是"localhost",keystore 文件存放在"e:\keytool\tomcat.keystore",口令为"aaaaaaa",使用如下命令生成: 

Java代码  收藏代码
  1. keytool -genkeypair -v -alias tomcat -keyalg RSA -keystore e:\keytool\tomcat.keystore -dname "CN=localhost,OU=hansky,O=cr,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa  

生成证书提示代码  收藏代码
  1. 正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):  
  2. CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn  
  3. [正在存储 e:\keytool\tomcat.keystore]  

        如果Tomcat所在服务器的域名不是"localhost",应改为对应的域名,如"www.sina.com.cn",否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入"localhost"。 
         2. 生成客户端证书  
        为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成: 
Java代码  收藏代码
  1. keytool -genkeypair -v -alias lcl -keyalg RSA -storetype PKCS12 -keystore e:\keytool\lcl.p12 -dname "CN=lcl,OU=lc,O=r,L=bj,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa  

生成证书提示代码  收藏代码
  1. 正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):  
  2.     CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn  
  3. [正在存储 e:\keytool\lcl.p12]  

        对应的证书库存放在"e:\keytool\lcl.p12",客户端的CN可以是任意值。稍候,我们将把这个"my.p12"证书库导入到IE和Firefox中。 
         3. 让服务器信任客户端证书  
        由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件,使用如下命令: 
Java代码  收藏代码
  1. keytool -exportcert -alias lcl -keystore e:\keytool\lcl.p12 -storetype PKCS12 -storepass aaaaaaa -rfc -file e:\keytool\lcr.cer  

导出证书代码  收藏代码
  1. 保存在文件中的认证 <e:\keytool\lcr.cer>  

        通过以上命令,客户端证书就被我们导出到"e:\keytool\lcr.cer"文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书: 
Java代码  收藏代码
  1. keytool -importcert -v -file e:\keytool\lcr.cer -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa  

导入证书的提示代码  收藏代码
  1. 所有者:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn  
  2. 签发人:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn  
  3. 序列号:4cd90399  
  4. 有效期: Tue Nov 09 16:17:29 CST 2010 至Mon Feb 07 16:17:29 CST 2011  
  5. 证书指纹:  
  6.          MD5:A4:BB:D1:E6:35:60:22:CC:DC:EF:6E:D9:B0:5C:2C:C7  
  7.          SHA1:12:90:4B:7A:C0:D8:EB:CC:7B:A7:15:8A:05:46:AC:F7:AE:BF:0E:62  
  8.          签名算法名称:SHA1withRSA  
  9.          版本: 3  
  10. 信任这个认证? [否]:  y  
  11. 认证已添加至keystore中  
  12. [正在存储 e:\keytool\tomcat.keystore]  

        通过list 命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书: 
Java代码  收藏代码
  1. keytool -list -v -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa  

         4. 将e:\keytool\tomcat.keystore拷贝到tomcat的根目录下,我拷贝到c:\tomcat(这是我的tomcat安装目录)下  
        5. 配置tomcat 
        打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下: 
Server.xml代码  收藏代码
  1. <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
  2.            maxThreads="150" scheme="https" secure="true"                
  3.            clientAuth="true" sslProtocol="TLS"  
  4.            keystoreFile="tomcat.keystore" keystorePass="aaaaaaa"  
  5.            truststoreFile="tomcat.keystore" truststorePass="aaaaaaa"/>  

        其中,clientAuth 指定是否需要验证客户端证书,如果该设置为"false",则为单向SSL验证,SSL 配置可到此结束。如果clientAuth设置为"true",表示强制双向SSL验证,必须验证客户端证书。如果clientAuth设置为"want",则表示可以验证客户端证书,但如果客户端没有有效证书,也不强制验证。 
         6. 导入客户端证书  
        如果设置了clientAuth="true",则需要强制验证客户端证书。双击"e:\keytool\lcl.p12"即可将证书导入至IE,导入证书后,即可启动Tomcat,用IE 进行访问。如果需要用FireFox 访问,则需将证书导入至FireFox。 
          7. 测试  
测试代码  收藏代码
  1. https://localhost:8443/  
老猿说说
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
KeyTool制作证书
04-03
KeyTool制作证书
Apache+tomcat+ssl配置+相关插件
09-29
在上述配置中,`redirectPort`属性指向了Tomcat的HTTPS端口,如果Apache上的SSL配置正确,当用户访问不安全的HTTP链接时,Tomcat会自动重定向到HTTPS。 关于相关的插件,Apache的mod_headers模块可以帮助你在HTTP...
SSL:用Keytool生成和签发数字证书
zzhongcy的专栏
03-26 6357
参考: http://chrui.iteye.com/blog/1018711 http://blog.sina.com.cn/s/blog_634d74310101c7bg.html http://utensil.github.io/tech/2011/06/11/how-to-play-with-certificates-and-keys.html http://blog.csdn
编写程序强制用户通过SSL访问网站
weixin_34384557的博客
05-12 79
有时候,为了网站数据传输的安全,我们希望用户访问网站某些页面或者整个网站的时候,必须通过HTTPS的方式访问,而不允许HTTP明文方式访问,如何正确的配置网站和编写程序以达到一个理想的效果呢? 有些网站开发人员,采用了只开放了HTTPS-443端口,而关闭HTTP-80端口的方式,这样的话,虽然可以造成用户的确无法用HTTP访问网站了,但如果用户通过HTTP访问网站,譬如直接在地址栏输入网址ww...
用Keytool和OpenSSL生成和签发数字证书
rznice的专栏
09-25 1万+
在数字证书使用过程中,会遇到签发证书问题,一般来说,有3个解决方法:     1.交由受信任的第三方证书颁发机构签名;     2.自签名;     3.自制CA证书并用其签名。     对于上线运营的网站来说,第一个方案是首选,因为只有这样浏览器才不会报警。过去买证书很贵,现在倒是有免费的了,比如IE和Firefox都支持的StartSSL。     不同的证书颁发机构对于证书生成多少
SSL 设置域名访问
weixin_33757911的博客
12-18 260
域名https.ssl.com设置https加密访问过程: 命令如下: #opensslgenrsa-des3-outhttps.ssl.com.key1024 #opensslreq-new-keyhttps.ssl.com.key-outhttps.ssl.com.csr #opensslrsa-inhttps.ssl.com.key...
Nginx+SSL+Node.js运行环境配置教程
09-30
现在,你的Web应用应该可以通过Nginx + SSL + Node.js的组合进行访问,Nginx负责静态文件服务和反向代理,Node.js处理动态请求,整个系统既安全又高效。记得根据实际需求调整Nginx配置,例如添加更多服务器块以支持...
Javascript+tomcat+ssl.docx
12-18
"Javascript+Tomcat+SSL" 以下是相关知识点的总结: Java 相关知识点 1. Java 运行环境安装:在安装 JDK 时,需要创建安装路径,解...3. 访问 Web 应用程序:通过 HTTP://+域名 访问 Web 应用程序,显示指定的内容。
asp限制域名访问实现代码
10-14
针对【标题】"asp限制域名访问实现代码"和【描述】中的内容,我们将讨论如何通过ASP来限制只有特定域名的用户可以访问网站。 首先,我们来看第一个代码示例: ```asp myIp = ",127.0.0.1,localhost,www.jb51.net...
详解Nginx配置SSL证书实现Https访问
09-30
首先,SSL证书分为三种类型:域名验证(DV)、组织验证(OV)和扩展验证(EV)证书。DV证书验证域名所有权, OV证书除了验证域名外,还会对申请证书的公司进行身份验证,而EV证书则是级别最高的,提供了额外的安全...
命令行keytool使用 证书DN生成数字证书容器 空格
05-01
NULL 博文链接:https://javawxl.iteye.com/blog/2401096
ssl+android
10-25
2. **验证错误**:如果出现“该异常出现的原因是没有对证书进行验证或者是验证了错误域名”,则需要检查证书验证逻辑是否正确实现,以及验证域名是否正确。 3. **其他错误**:对于其他未知错误,建议仔细检查整个...
Nginx配置同一个域名同时支持http与https两种方式访问实现
01-09
最后,通过访问域名以确保HTTP请求被正确重定向到HTTPS,并且HTTPS连接能够成功建立。 以上就是配置Nginx服务器使得同一个域名支持HTTP和HTTPS访问的基本步骤。根据实际需求,可能需要调整或添加更多的配置选项。...
Nginx配置如何区分PC或手机访问不同域名
09-30
配置Nginx以区分PC或手机访问不同的域名,是网站开发和运维中常见的需求,用于提供更为个性化的用户体验,尤其是在响应式网站设计和移动优先策略中具有重要意义。 本文首先介绍了基于HTTP_USER_AGENT来区分不同设备...
SSL.rar_ssl
09-24
5. **测试SSL连接**:安装完成后,通过访问`https://yourdomain.com`来测试SSL连接。如果一切正常,你应该能看到浏览器地址栏显示绿色的小锁图标,表明连接是安全的。 6. **强制HTTPS**:为了确保所有流量都通过...
keytool命令制作CA根证书,签发二级证书
lucky_love816的博客
01-05 2217
关于TLS的一些基本信息我这里就不多说了,网上一搜一大堆。这里主要说一下,在tls单向认证里,怎么用keytool命令去制作CA证书,签发二级证书。双向认证也就是照着反方向做一遍就好了。 先附一张简单的步骤图,及每一步的命令 keytool -certreq -alias server -keystore d:\server.keystore -storepass 123456 -file d:\server.csr keytool -gencert -alias ca -keystore d:\ca
nginx https配置ssl证书实现访问https服务
GoppViper的博客
02-02 252
提交申请后,在“证书资源包”–>“证书管理” 标签下,会生成一个状态是“已签发”的”DigiCert免费版SSL“证书,点击“下载”登录“阿里云控制台”,输入关键词寻找:SSL证书,找到“安全(云盾)”下的 SSL证书(应用安全)标签,点击进去。在弹出的右侧边框中,根据自己实际的web服务器,选择对应的下载(这里我选择的是Nginx)打开证书申请页面,填写申请内容,包括:域名、姓名、邮箱和手机号。最左侧点击“证书资源包”,来获取免费的SSL证书。
自制的SSL证书能应用于正式网站用域名访问吗?
SSL加密技术
07-15 607
什么是自签名的SSL证书?自签名的SSL证书,顾名思义就是不是受到受信任的机构颁发的SSL证书,自己签发的证书。这种证书随意签发,不受监督也不会受任何浏览器以及操作系统信任。那么,自签名的SSL证书怎么样?安全吗?会有什么风险? 自签名的证书容易被黑客伪造用来攻击或者劫持站点流量,如果使用自签名的SSL证书,就容易被钓鱼网站利用,这是其一。一旦你使用这种随意签发的,不受监督、信任的证书,黑客同样也会进行伪造,用在钓鱼网站从而对所有信任你网站的人造成损失。 为什么自签名的SSL证书会有风险? 因为国内外
配置https域名访问搭建
热门推荐
我许我向您看齐
11-11 1万+
当我我研究微信小程序的时候,发现访问地址一定要https,然后自行去研究了一下这方面的技术 这里使用的是免费的https 搭建测试 HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。 其实配置https最后拿到的就是.pem和.key两个文件,然后到nginx里面新添加一个域名解析,解析到443端口,重启nginx,然后访问即可 首先去这
配置ssl一定要使用域名
最新发布
07-12
不一定,配置SSL证书时通常需要一个域名来绑定证书。这是因为SSL证书是与域名相关联的,它用于验证网站的身份并加密数据传输。当用户访问网站时,浏览器会检查SSL证书是否与访问域名匹配。 然而,在某些情况下,可以使用IP地址来配置SSL证书。这称为通配符或多域名证书。通配符证书适用于子域名的情况,而多域名证书则适用于一个SSL证书覆盖多个不同的域名。 总的来说,为了配置SSL证书,通常建议使用一个域名来确保安全性和正确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值