Tomcat6配置SSL的方法

原創 Im-back 2018-09-04 22:05

轉自:http://blog.csdn.net/xueyepiaoling/article/details/6138798


因爲做項目測試的時候,用到了https,所以現在需要在tomcat中配置SSL。

 

tomcat6配置雙向認證 

1、生成服務器端證書

[java] view plain copy
  1. keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650  
[java] view plain copy
  1. <br>2、生成客戶端證書 <br>  
[java] view plain copy
  1. keytool -genkey -keyalg RSA -dname "cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650  


客戶端的CN可以是任意值。 
3、由於是雙向SSL認證,服務器必須要信任客戶端證書,因此,必須把客戶端證書添加爲服務器的信任認證。由於不能直接將PKCS12格式的證書庫導入,我們必須先把客戶端證書導出爲一個單獨的CER文件,使用如下命令,先把客戶端證書導出爲一個單獨的cer文件:

[java] view plain copy
  1. keytool -export -alias custom -file custom.cer -keystore  custom.p12 -storepass password -storetype PKCS12 -rfc  


然後,添加客戶端證書到服務器中(將已簽名數字證書導入密鑰庫)

[java] view plain copy
  1. keytool -import -v -alias custom -file custom.cer -keystore  server.jks -storepass password  


4、查看證書內容

[java] view plain copy
  1. keytool -list -v -keystore server.jks -storepass password  


5、配置tomcat service.xml文件

[xml] view plain copy
  1. <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
  2.     maxThreads="150" scheme="https" secure="true"  
  3.     clientAuth="true" sslProtocol="TLS"  
  4.     keystoreFile="D:/server.jks" keystorePass="password"  
  5.     truststoreFile="D:/server.jks" truststorePass="password"  
  6. />  


clientAuth="true"表示雙向認證 
6、導入客戶端證書到瀏覽器 
雙向認證需要強制驗證客戶端證書。雙擊“custom.p12”即可將證書導入至IE 

7、修改應用的web.xml,使其自動啓用SSL

<login-config>
 <auth-method>CLIENT-CERT</auth-method>
 <realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
 <web-resource-collection>
  <web-resource-name>SSL</web-resource-name>
  <url-pattern>/*</url-pattern>
 </web-resource-collection>
 <user-data-constraint>
  <transport-guarantee>CONFIDENTIAL</transport-guarantee>
 </user-data-constraint>
</security-constraint>

 


tomcat6配置單向認證 

1、生成服務器端證書

[java] view plain copy
  1. keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650  


2、由於是單向認證,沒有必要生成客戶端的證書,直接進入配置tomcat service.xml文件

[xml] view plain copy
  1. <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
  2.     maxThreads="150" scheme="https" secure="true"  
  3.     clientAuth="false" sslProtocol="TLS"  
  4.     keystoreFile="D:/server.jks" keystorePass="password"      
  5. />  


clientAuth="false"表示單向認證,同時去掉truststoreFile="D:/server.jks" truststorePass="password"這2個屬性

 

PS:用https://localhost:8443測試,之前一直不成功,是因爲配置的時候,用了eclipse啓動的。之後雖然修改了server.xml文件,但是一直就是報異常,說connceted refused。後來將server刪除,重新生成就可以了。

 

另附:雙向認證的批處理文件,用記事本編輯,文件後綴改爲.bat

 

set local_driver=%cd:~0,2%
set local_path=%cd%

keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650

keytool -genkey -keyalg RSA -dname "cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650

keytool -export -alias custom -file custom.cer -keystore  custom.p12 -storepass password -storetype PKCS12 -rfc

keytool -import -v -alias custom -file custom.cer -keystore  server.jks -storepass password

keytool -list -v -keystore server.jks -storepass password

%local_driver%
cd %local_path%

pause

 

有一些其它的選項配置SSL協議。你可能需要增加或改變下面的屬性值,取決於你開始對keystore的配置

 

clientAuth

 如果想要Tomcat爲了使用這個socket而要求所有SSL客戶出示一個客戶證書,置該值爲true。

keystoreFile

如果創建的keystore文件不在Tomcat認爲的缺省位置(一個在Tomcat運行的home目錄下的叫.keystore的文件),則加上該屬性。可以指定一個絕對路徑或依賴$CATALINA_BASE環境變量的相對路徑。

keystorePass

 如果使用了一個與Tomcat預期不同的keystore(和證書)密碼(changeit),則加入該屬性。

keystoreType

 如果使用了一個PKCS12 keystore,加入該屬性。有效值是JKS和PKCS12。

sslProtocol

 socket使用的加密/解密協議。如果使用的是Sun的JVM,則不建議改變這個值。據說IBM的1.4.1版的TLS協議的實現和一些流行的瀏覽器不兼容。這種情況下,使用SSL。

ciphers

 此socket允許使用的被逗號分隔的密碼列表。缺省情況下,可以使用任何可用的密碼。

algorithm

 使用的X509算法。缺省爲Sun的實現(SunX509)。對於IBM JVMS應該使用ibmX509。對於其它JVM,參考JVM文檔取正確的值。

truststoreFile

 用來驗證客戶證書的TrustStore文件。

truststorePass

 訪問TrustStore使用的密碼。缺省值是keystorePass。

truststoreType

 如果使用一個不同於正在使用的KeyStore的TrustStore格式,加入該屬性。有效值是JKS和PKCS12。

 

在Java中取得證書內容:

1 X509Certificate[] certChain=(X509Certificate[])request

2         .getAttribute("javax.servlet.request.X509Certificate");
3 int len=certChain.length;
4 if (len>0){
5     X509Certificate cert = (X509Certificate)certChain[0];
6     Principal subject = cert.getSubjectDN();
7     String certSubject = subject.getName();
8 }
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

啓用TOMCAT的SSL

 啓用TOMCAT的SSL 本教程使用 JDK 6 和 Tomcat 7,其他版本類似。基本步驟:使用 java 創建一個 keystore 文件配置 Tomcat 以使用該 keystore 文件測試配置應用以便使用 SSL ,例如

虫它 2020-07-08 11:08:02

【MMT】ICLR 2020: MMT(Mutual Mean-Teaching)方法,無監督域適應在Person Re-ID上性能再創新高

爲了減輕噪音僞標籤的影響,文章提出了一種無監督的MMT(Mutual Mean-Teaching)方法,通過在迭代訓練的方式中使用離線精煉硬僞標籤和在線精煉軟僞標籤,來學習更佳的目標域中的特徵。同時,還提出了可以讓Traplet

_Summer tree 2020-07-08 05:01:22

SSLClient

可以通過 System.setProperty("javax.net.ssl.keyStore", "d:\test.keys"); 設置證書。 package org.sl.bean; import java.io.FileInp

AFer198215 2020-07-07 22:05:49

websocketpp wss

一. wss 認證 關於SSL認證說明(轉載)https://www.cnblogs.com/bluestorm/p/10571989.html 二.從瀏覽器生成wss客戶端 1.用谷歌打開網站 2.點擊"小鎖", 在證書路徑中

yangops 2020-07-07 14:05:32

https 和 SSL

1. HTTPS HTTPS(全稱:Hypertext Transfer Protocol over Secure Socket Layer),是以安全爲目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTP

稀里糊涂_helen 2020-07-07 12:48:32

GCDAsyncSocket two way authentication SSL 雙向認證

核心 1. 怎麼創建  NSMutableDictionary *sslSetting 2.怎麼驗證服務端公鑰 準備: 本人目前使用的 iOS 公私鑰是 p12, 服務端公鑰建議準備.der 文件。本人實驗了多種方式,覺得下面粘的代碼的

稀里糊涂_helen 2020-07-07 12:48:32

http升級https(新手推薦),Liunx配置Apache

1.Apache安裝  Apache安裝有2種方法:分別是   · 源碼編譯安裝   · yum安裝 這裏採用yum安裝 輸入命令:  yum install httpd  直接下一步即可 2. 申請SSL證書(這裏以阿里云爲例) 進入阿

Ares称雄 2020-07-07 12:08:14

Netty——預置的ChannelHandler和編解碼器(一)

預置的ChannelHandler和編解碼器 Netty 爲許多通用協議提供了編解碼器和處理器,幾乎可以開箱即用,這減少了你在那些相 當繁瑣的事務上本來會花費的時間與精力。在本章中,我們將探討這些工具以及它們所帶來的好 處,其中包

吴声子夜歌 2020-07-07 01:09:47

HTTP和HTTPS異同

原文地址:http://www.oschina.net/question/12_51314 什麼是 HTTPS? HTTPS (基於安全套接字層的超文本傳輸協議 或者是 HTTP over SSL) 是一個 Netscape 開發的

Sphinx 2020-07-06 23:52:14

【FSR】Feature Space Regularization for Person Re-Identification with One Sample

Feature Space Regularization for Person Re-Identification with One SampleAbstractI. INTRODUCTIONFramework.Our Meth

_Summer tree 2020-07-06 22:12:48

openssl 生成私鑰、申請文件,證書導入jks說明

openssl 生成私鑰、申請文件,證書導入說明 1.生成私鑰 openssl genrsa -out serverkey.key 1024/2048 這樣生成的私鑰不帶密碼(以後生成密鑰庫後,要將密碼改成和密鑰庫密碼相同) op

墨玉wsc 2020-07-06 19:13:20

python requests的 SSLError

SSL Error 就是以https 進行訪問網站的時候 驗證失敗。 一般原因是 requests 裏面的一些驗證的部分需要升級, 升級一下reqeusts 就行了。 或者安裝 額外的 安全套件: pip install -U r

hpulfc 2020-07-06 19:07:31

JavaScript使用MQTT,option設置ssl,password等

JavaScript使用MQTT 1、MQTT Server使用EMQTTD開源庫,自行安裝配置; 2、JS使用Websocket連接通信。 3、JS的MQTT庫爲paho-mqtt,git地址:https://github.com/ec

孔方方 2020-07-06 16:04:33

Django 郵件發送問題smtplib.SMTPServerDisconnected: Connection unexpectedly closed

該錯誤出現的問題是:SSL選項未選擇 setting.py添加以下代碼(以QQ郵箱爲例子): EMAIL_BACKEND = 'django.core.mail.backends.smtp.EmailBackend' EMAIL_HOS

hrbust_cxl 2020-07-06 12:06:35

【轉】配置MySQL主從複製(Replication)服務

轉自http://7056824.blog.51cto.com/69854/400642   我們一般使用 MySQL 的時候,如果數據量不大,只使用一臺 MySQL 服務器,備份的時候使用 mysqldump 工具就可以了,但是隨着

小小的编码人 2020-07-06 08:06:45