Tomcat配置SSL的双向认证
证书保存在服务器端,用户通过浏览器访问时,需要将证书下载保存到本地,表示信任服务器。
同样浏览器中的证书也需要保存到服务器的证书库中,表明当前浏览器的证书是可信的。
环境:tomcat-6.0.18、jdk1.6.0_18
1. 为服务器生成证书
使用keytool 为Tomcat 生成证书,假定目标机器的域名是"localhost",keystore 文件存放在"e:\keytool\tomcat.keystore",口令为"aaaaaaa",使用如下命令生成:
C:\java\jdk1.6.0_18\bin>keytool -genkeypair -v -alias tomcat -keyalg RSA -keystore e:\keytool\tomcat.keystore -dname "CN
=localhost,OU=hansky,O=cr,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa
正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):
CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn
[正在存储 e:\keytool\tomcat.keystore]
如果Tomcat 所在服务器的域名不是"localhost",应改为对应的域名,如"www.sina.com.cn",否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入"localhost"。
2. 生成客户端证书
为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成:
C:\java\jdk1.6.0_18\bin>keytool -genkeypair -v -alias lcl -keyalg RSA -storetype PKCS12 -keystore e:\keytool\lcl.p12 -dname "CN=lcl,OU=lc,O=r,L=bj,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa
正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):
CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
[正在存储 e:\keytool\lcl.p12]
对应的证书库存放在"e:\keytool\lcl.p12",客户端的CN可以是任意值。稍候,我们将把这个"my.p12"证书库导
入到IE 和Firefox 中。
3. 让服务器信任客户端证书
由于是双向SSL 认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。
由于不能直接将PKCS12 格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER 文件,使用如下
命令:
C:\java\jdk1.6.0_18\bin>keytool -exportcert -alias lcl -keystore e:\keytool\lcl.p12 -storetype PKCS12 -storepass aaaaaaa -rfc -file e:\keytool\lcr.cer
保存在文件中的认证 <e:\keytool\lcr.cer>
通过以上命令,客户端证书就被我们导出到"e:\keytool\lcr.cer"文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:
C:\java\jdk1.6.0_18\bin>keytool -importcert -v -file e:\keytool\lcr.cer -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa
所有者:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
签发人:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
序列号:4cd90399
有效期: Tue Nov 09 16:17:29 CST 2010 至Mon Feb 07 16:17:29 CST 2011
证书指纹:
MD5:A4:BB:D1:E6:35:60:22:CC:DC:EF:6E:D9:B0:5C:2C:C7
SHA1:12:90:4B:7A:C0:D8:EB:CC:7B:A7:15:8A:05:46:AC:F7:AE:BF:0E:62
签名算法名称:SHA1withRSA
版本: 3
信任这个认证? [否]: y
认证已添加至keystore中
[正在存储 e:\keytool\tomcat.keystore]
通过list 命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证
书:
C:\java\jdk1.6.0_18\bin>keytool -list -v -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa
Keystore 类型: JKS
Keystore 提供者: SUN
您的 keystore 包含 2 输入
别名名称: tomcat
创建日期: 2010-11-9
项类型: PrivateKeyEntry
认证链长度: 1
认证 [1]:
所有者:CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn
签发人:CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn
序列号:4cd9036e
有效期: Tue Nov 09 16:16:46 CST 2010 至Mon Feb 07 16:16:46 CST 2011
证书指纹:
MD5:F8:8D:CC:72:34:D2:A3:17:8B:7E:AC:6F:ED:E2:21:24
SHA1:B2:70:EC:86:27:79:88:05:E4:72:45:F3:93:38:2C:F6:A0:50:37:0C
签名算法名称:SHA1withRSA
版本: 3
*******************************************
*******************************************
别名名称: mykey
创建日期: 2010-11-9
输入类型: trustedCertEntry
所有者:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
签发人:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
序列号:4cd90399
有效期: Tue Nov 09 16:17:29 CST 2010 至Mon Feb 07 16:17:29 CST 2011
证书指纹:
MD5:A4:BB:D1:E6:35:60:22:CC:DC:EF:6E:D9:B0:5C:2C:C7
SHA1:12:90:4B:7A:C0:D8:EB:CC:7B:A7:15:8A:05:46:AC:F7:AE:BF:0E:62
签名算法名称:SHA1withRSA
版本: 3
*******************************************
*******************************************
4. 将e:\keytool\tomcat.keystore拷贝到tomcat的根目录下,我拷贝到c:\tomcat(这是我的tomcat安装目录)下
5. 配置tomcat
打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="tomcat.keystore" keystorePass="aaaaaaa"
truststoreFile="tomcat.keystore" truststorePass="aaaaaaa"/>
其中,clientAuth 指定是否需要验证客户端证书,如果该设置为"false",则为单向SSL 验证,SSL 配置可到此结束。如果clientAuth设置为"true",表示强制双向SSL验证,必须验证客户端证书。如果clientAuth设置为"want",则表示可以验证客户端证书,但如果客户端没有有效证书,也不强制验证。
6. 导入客户端证书
如果设置了clientAuth="true",则需要强制验证客户端证书。双击"e:\keytool\lcl.p12"即可将证书导入至IE,导入证书后,即可启动Tomcat,用IE 进行访问。如果需要用FireFox 访问,则需将证书导入至FireFox。
7. 测试
https://localhost:8443/
分享到:
相关推荐
使用AES256加密技术实现tomcat7对连接池数据库密码加密解密,资源中包含加密小程序,小程序实现加密,tomcat中实现解密,方便客户自己修改数据库密码且是密文!支持多操作系统如:linux mac os 文件太多分成两部分请...
这是我实战的笔记,全程直播。 #### Tomcat和Openssl构建HTTPS双向认证 ###### ...二、tomcat实现双向认证 1、创建服务器信任的CA证书库 2、配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书)
详细讲解tomcat 连接池数据库解密加密方法以及过程。
个人学习笔记,markdown风格,记录Tomcat双向认证SSL证书的过程
本资源包含一个 openssl 工具安装包 Win32OpenSSL-1_1_0c.exe,一个 tomcat 进行配置 ssl 证书、完全 TLS v1.2、完全正向加密的 server.xml、startup.bat 配置文件。关于tomcat 进行配置 ssl 证书、完全 TLS v1.2、...
TOMCAT8 JNDI对用户名和密码加密
Tomcat配置数据库连接加密访问
tomcat 配置ssl加密通讯tomcat 配置ssl加密通讯tomcat 配置ssl加密通讯
Tomcat双向认证证书管理工具, 可以用来生成、添加、删除证书,修改证书和密匙库密码,查看密匙库密匙列表。密匙库放在tomcat服务器端,生成的*.p12文件安装到客户端。 *注:需要安装Microsoft .Net Framework 2.0 ...
修改tomcat的bin目录下catalina.bat set JAVA_OPTS=-agentlib:c:\jvm\deClass linux下 拷贝libdeclass.so到/lib下 java -agentlib:declass Hello tomcat: 修改catalina.sh JAVA_OPTS =-agentlib:declass
Tomcat配置SSL双向认证简单实例
AndroidHttpClient访问Tomcat双向SSL验证服务器.pdf
Tomcat 配置文件数据库密码加密,增加factory属性和修改context....代码是jdk1.8版本,包含简单的加密类和http请求,如果使用简单的加密,不需要引用额外的lib包,只需要tomcat-dbcp.jar即可。使用http就需要多个har包
tomcat的8005端口是用来关闭服务的,如果服务关闭不了那就执行下边操作,如果服务能正常访问,能正常关闭,那就不需要执行下边操作
使用AES256加密技术实现tomcat7对连接池数据库密码加密解密,资源中包含加密小程序,小程序实现加密,tomcat中实现解密,方便客户自己修改数据库密码且是密文!
tomcat,https加密方式(jsse.openssl),亲自测试方法可行,真实有效。
呕心沥血,实践出真知,tomcat的ssl配置,实现双向通信。
说明tomcat如何配置https单向加密,如何使用jdk提供的keytool建立服务器证书
本资源是一个 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证配置示例。详细如何配置请参考博客《图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》,地址是:...
文中所有内容通过本机运行,没有详细的原理介绍,原理介绍网上很多。