转载自:http://juncao2011.iteye.com/blog/973988
tomcat6配置:
1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源
2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址
如果只是加密,我感觉单向就行了。
如果想要用系统的人没有证书就访问不了系统的话,就采用双向
单向配置:
第一步:为服务器生成证书
使用keytool 为 Tomcat 生成证书,假定目标机器的域名是“ localhost ”, keystore 文件存放在“ C:\tomcat.keystore ”,口令为“ password ”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650 -keystore c:\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
这个tomcat.cer是为了解决不信任时要导入的
keytool -export -alias tomcat -keystore c:\tomcat.keystore -file c:\tomcat.cer -storepass password
第四步:配置Tomcat 服务器
打开Tomcat 根目录下的 /conf/server.xml ,找到如下配置段,修改如下:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="C:/tomcat.keystore" keystorePass="password" >
特别需要注意的是:protocol里面的值.如果用http 1.1,那么https的链接就会打不开.这也是我后期订正的
应用程序的web.xml 可以加上这句话: 具体web系统
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
到这里启动tomcat,输入 https://localhost:8443/
这时再打开会弹出一个提示框:证书不可信任,有一个警告,说什么需要机构颁发。
这时再双击第一步生成的tomcat.cer。一直下一步,最后选“是”。
导入后,再输入地址就不是提示了。直接转向tomcat的猫页,说明成功了。
双向配置:
第一步:为服务器生成证书
使用keytool 为 Tomcat 生成证书,假定目标机器的域名是“ localhost ”, keystore 文件存放在“ C:\tomcat.keystore ”,口令为“ password ”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650 -keystore c:\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
这个tomcat.cer是为了解决不信任时要导入的
keytool -export -alias tomcat -keystore c:\tomcat.keystore -file c:\tomcat.cer -storepass password
第二步:为客户端生成证书
下一步是为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE 和 Firefox ,证书格式应该是 PKCS12 ,因此,使用如下命令生成:
keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12 -validity 3650 -keystore C:\my.p12 -dname "CN=MyKey,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
第三步:让服务器信任客户端证书
由于是双向SSL 认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将 PKCS12 格式的证书库导入,我们必须先把客户端证书导出为一个单独的 CER 文件,使用如下命令:
keytool -export -alias myKey -keystore C:\my.p12 -storetype PKCS12 -storepass password -rfc -file C:\my.cer
通过以上命令,客户端证书就被我们导出到“C:\my.cer ”文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:
keytool -import -v -file C:\my.cer -keystore c:\tomcat.keystore -storepass password
通过list 命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书:
keytool -list -keystore c:\tomcat.keystore -storepass password
第四步:配置Tomcat 服务器
打开Tomcat 根目录下的 /conf/server.xml ,找到如下配置段,修改如下:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="C:/tomcat.keystore" keystorePass="password"
truststoreFile="C:/tomcat.keystore" truststorePass="password"/>
应用程序的web.xml 可以加上这句话: 具体web系统
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
到这里启动tomcat,输入 https://localhost:8443/,是访问不了的:原因客户端证书没有导入浏览器
双击 “C:\my.p12” 即可将证书导入至 IE :输入创建时候的密码,password
这时再打开会弹出一个提示框:证书不可信任,有一个警告,说什么需要机构颁发。
这时再双击第一步生成的tomcat.cer。一直下一步,最后选“是”。
导入后,再输入地址就不是提示了。直接转向tomcat的猫页,说明成功了。
其他:
1.ssl默认端口是443,如果web系统不需要带端口访问的,可以修改,去找找资料,我没试过。
2.如果要批量生成客户端的话,找找批量生成工具,我搜到过。
分享到:
相关推荐
NULL 博文链接:https://sgq0085.iteye.com/blog/1767923
NULL 博文链接:https://juncao2011.iteye.com/blog/973988
双向认证和单向认证双向认证和单向认证
说明tomcat如何配置https单向加密,如何使用jdk提供的keytool建立服务器证书
NULL 博文链接:https://zhaoshijie.iteye.com/blog/2215393
VC http/https(包含单向认证、双向认证源码、SSL协议设置) 这个类是从我现在正在开发的代码中扣出来的,但是耦合性应该不高,可以加入到其他工程使用,带S的函数是针对多线程压力测试几乎没有捕获异常。代码以先...
VC http/https(包含单向认证、双向认证源码) 这个类是从我现在正在开发的代码中扣出来的,但是耦合性应该不高,可以加入到其他工程使用,带S的函数是针对多线程压力测试几乎没有捕获异常。代码以先完成在完美的思想...
两个VC 链表模板类,一个是单向链表,一个是多向链表,用法在main()函数中都有说明,对初学者应该有帮助,说明了原理,还有代码示例,不失为一套不错的学习资料。
详细的websphere中Https单向认证配置步骤说明
支持https单向认证和https双向认证
Oracle 业界领先的数据同步工具 -- Oracle Golden Gate。Oracle Golden Gate是经客户验证的业界最佳的数据同步工具,能够提供异构环境下数据的实时捕捉,变换和投递,支持异构数据库环境下的数据同步。...
TLS单向认证、双向认证wireshark抓包、单、双向认证客户端log、证书生成脚本、TLS客户端、服务器创建脚本
HTTPS的单向认证通信,代码解压之后make编译,之后根据CSDN博客的内容进行运行:https://blog.csdn.net/qq_41453285/article/details/99708086(备注:单向认证) 备注:此资源缺少一个client.c文件,下载时联系博客...
主从单向和双向备份配置,以及操作配置的mysql命令
VC http/https(包含单向认证...20191114:可以不用在下载此资源,已经重新提供了一份更全面的资源《VC http/https(包含单向认证、双向认证源码、SSL协议设置)》,且积分比此资源更少(当初第一次上传资源没注意选到了7分)
搭建rsyslog远程接收日志服务器时,要想要服务器生效,必须按照实际使用场景配置rsyslog的配置文件,该配置文件资源应用于rsyslog v8版本的TLS协议单向认证场景。由于rsyslog v8版本对于v5版本有一些格式上的更新,...
增强双跳单向/双向自动对焦中继系统中的合作多样性:一种完全机会主义的角色选择策略
NULL 博文链接:https://z-jls03.iteye.com/blog/836195
此压缩包为1、无头+单向+非循环链表增删查改实现// 动态申请一个结点// 单链表打印// 单链表尾插// 单链表的头插// 单链表的尾删// 单链表头删// 单链表查找// 单链表在pos位置之后插入x// 单链表删除pos位置之后的...
单向板双向板板筋识图.ppt