tomcat实现SSL配置(详细版)
Tomcat双向认证的问题这么多,贴一篇我总结的Tomcat双向认证方法
tomcat实现SSL配置
tomcat实现SSL配置
编辑tomcat的配置文件server.xml,去掉下面SSL Connector的注释,修改成以下:
<!-- Define an SSL HTTP/1.1 Connector on port 8443 -->;
<Connector className="org.apache.catalina.connector.http.HttpConnector"
port="8443" minProcessors="5" maxProcessors="75"
enableLookups="true"
acceptCount="10" debug="0" scheme="https" secure="true">;
<Factory className="org.apache.catalina.net.SSLServerSocketFactory"
clientAuth="false" keystoreFile="tomcat.keystore"
keystorePass="tomcat" protocol="TLS"/>;
</Connector>;
keystoreFile的路径是TOMCAT的安装路径下的tomcat.keystore(使用keytool生成的证书库文件)
>;keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore
keystoreFile保存了服务器端的证书库,用于客户端认证。
经常使用的配置属性:
clientAuth
若是想要Tomcat为了使用这个socket而要求全部SSL客户出示一个客户证书,置该值为true。
keystoreFile
若是建立的keystore文件不在Tomcat认为的缺省位置(一个在Tomcat运行的home目录下的叫.keystore的文件),则加上该属性。能够指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。
keystorePass
若是使用了一个与Tomcat预期不一样的keystore(和证书)密码,则加入该属性。
keystoreType
若是使用了一个PKCS12 keystore,加入该属性。有效值是JKS和PKCS12。
sslProtocol
socket使用的加密/解密协议。若是使用的是Sun的JVM,则不建议改变这个值。听说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种状况下,使用SSL。
ciphers
此socket容许使用的被逗号分隔的密码列表。缺省状况下,可使用任何可用的密码。
algorithm
使用的X509算法。缺省为Sun的实现(SunX509)。对于IBM JVMS应该使用ibmX509。对于其它JVM,参考JVM文档取正确的值。
truststoreFile
用来验证客户证书的TrustStore文件。
truststorePass
访问TrustStore使用的密码。缺省值是keystorePass。
truststoreType
若是使用一个不一样于正在使用的KeyStore的TrustStore格式,加入该属性。有效值是JKS和PKCS12。
使用https://localhost:8443 就能够进行ssl链接的检测
----------------------------------------------------------------------------------------
上诉的SSL链接是客户端单向认证服务器,若是双向认证,将server.xml文件的Connector配置
clientAuth="false"
Java服务器端的证书库,服务器认证客户端时使用的根证书库。
证书库位置:JAVA_HOME/jre/lib/security/cacerts keystore密码为:changeit
将客户端我的证书的根证书导入服务器的证书库,就能够认证客户端。
服务器端证书的生成:
>;keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore
>;keytool -certreq -alias tomcat -file Server.csr -keystore tomcat.keystore 生成证书请求文件
使用openssl命令用根证书签名,再导入签名证书
>;keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore
注意-trustcacerts选项,使用服务器的证书库认证该证书,首先要将根证书导入cacerts中。
----------------------------------------------------------------------------------------
Tomcat配置SSL,我出现的问题
我用openssl建立了CA证书,Server证书,Client证书。
使用keytool将Server证书导入tomcat.keystore文件中,将Tomcat的配置文件server.xml关于SSL的配置设为keystoreFile=tomcat.keystore.SSL链接时,客户端认证tomcat.keystore中的服务器证书。
将CA证书导入$JAVA_HOME\jre\lib\security\cacerts这个keystore中,用于验证客户端证书。
在IE中安装CA证书和Client证书(pkcs12,包含私钥的我的证书形式)。
创建SSL链接https://localhost:8443,链接失败。
通过反复思量,知道问题所在,SSL链接时,客户端认证服务器时,须要验证服务器的签名,那么tomcat.keystore中就应该有Server的私钥。因此导入Server证书时,应该导入包含私钥的Server证书。
keytool命令不能导入私钥文件,能够经过在keystore中生成自签名证书,导出证书请求,用CA证书签名后,在导回的方法。
导回签名证书的过程
>;keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore
注意-trustcacerts选项,使用服务器的证书库认证该证书,首先要将根证书导入Java的根证书库中:JAVA_HOME\jre\lib\security\cacerts中。
----------------------------------------------------------------------------------------
分析IE实现实现SSL链接的中的证书双向认证过程
在地址栏中输入https://localhost:8443
tomcat实现SSL配置
tomcat实现SSL配置
编辑tomcat的配置文件server.xml,去掉下面SSL Connector的注释,修改成以下:
<!-- Define an SSL HTTP/1.1 Connector on port 8443 -->;
<Connector className="org.apache.catalina.connector.http.HttpConnector"
port="8443" minProcessors="5" maxProcessors="75"
enableLookups="true"
acceptCount="10" debug="0" scheme="https" secure="true">;
<Factory className="org.apache.catalina.net.SSLServerSocketFactory"
clientAuth="false" keystoreFile="tomcat.keystore"
keystorePass="tomcat" protocol="TLS"/>;
</Connector>;
keystoreFile的路径是TOMCAT的安装路径下的tomcat.keystore(使用keytool生成的证书库文件)
>;keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore
keystoreFile保存了服务器端的证书库,用于客户端认证。
经常使用的配置属性:
clientAuth
若是想要Tomcat为了使用这个socket而要求全部SSL客户出示一个客户证书,置该值为true。
keystoreFile
若是建立的keystore文件不在Tomcat认为的缺省位置(一个在Tomcat运行的home目录下的叫.keystore的文件),则加上该属性。能够指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。
keystorePass
若是使用了一个与Tomcat预期不一样的keystore(和证书)密码,则加入该属性。
keystoreType
若是使用了一个PKCS12 keystore,加入该属性。有效值是JKS和PKCS12。
sslProtocol
socket使用的加密/解密协议。若是使用的是Sun的JVM,则不建议改变这个值。听说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种状况下,使用SSL。
ciphers
此socket容许使用的被逗号分隔的密码列表。缺省状况下,可使用任何可用的密码。
algorithm
使用的X509算法。缺省为Sun的实现(SunX509)。对于IBM JVMS应该使用ibmX509。对于其它JVM,参考JVM文档取正确的值。
truststoreFile
用来验证客户证书的TrustStore文件。
truststorePass
访问TrustStore使用的密码。缺省值是keystorePass。
truststoreType
若是使用一个不一样于正在使用的KeyStore的TrustStore格式,加入该属性。有效值是JKS和PKCS12。
使用https://localhost:8443 就能够进行ssl链接的检测
----------------------------------------------------------------------------------------
上诉的SSL链接是客户端单向认证服务器,若是双向认证,将server.xml文件的Connector配置
clientAuth="false"
Java服务器端的证书库,服务器认证客户端时使用的根证书库。
证书库位置:JAVA_HOME/jre/lib/security/cacerts keystore密码为:changeit
将客户端我的证书的根证书导入服务器的证书库,就能够认证客户端。
服务器端证书的生成:
>;keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore
>;keytool -certreq -alias tomcat -file Server.csr -keystore tomcat.keystore 生成证书请求文件
使用openssl命令用根证书签名,再导入签名证书
>;keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore
注意-trustcacerts选项,使用服务器的证书库认证该证书,首先要将根证书导入cacerts中。
----------------------------------------------------------------------------------------
Tomcat配置SSL,我出现的问题
我用openssl建立了CA证书,Server证书,Client证书。
使用keytool将Server证书导入tomcat.keystore文件中,将Tomcat的配置文件server.xml关于SSL的配置设为keystoreFile=tomcat.keystore.SSL链接时,客户端认证tomcat.keystore中的服务器证书。
将CA证书导入$JAVA_HOME\jre\lib\security\cacerts这个keystore中,用于验证客户端证书。
在IE中安装CA证书和Client证书(pkcs12,包含私钥的我的证书形式)。
创建SSL链接https://localhost:8443,链接失败。
通过反复思量,知道问题所在,SSL链接时,客户端认证服务器时,须要验证服务器的签名,那么tomcat.keystore中就应该有Server的私钥。因此导入Server证书时,应该导入包含私钥的Server证书。
keytool命令不能导入私钥文件,能够经过在keystore中生成自签名证书,导出证书请求,用CA证书签名后,在导回的方法。
导回签名证书的过程
>;keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore
注意-trustcacerts选项,使用服务器的证书库认证该证书,首先要将根证书导入Java的根证书库中:JAVA_HOME\jre\lib\security\cacerts中。
----------------------------------------------------------------------------------------
分析IE实现实现SSL链接的中的证书双向认证过程
在地址栏中输入https://localhost:8443
客户端向服务器发送hello消息,tomcat服务器侦听8443端口,收到SSL链接的hello消息,服务器发送server certificate,而且发送client certificate request.客户端IE收到server certificate后取出issuer项,和IE受信任的根证书库中证书的subject比对,找到合适的根证书认证server certificate。而且同时向服务器发送client certificate,服务器收到client certificate后,tomcat服务器查找根证书库cacerts中的根证书的suject,找到合适的根证书认证client certificate.在认证的同时完成密钥协商。客户端认证结束后,IE会弹出"安全警报"对话框,用户能够查看服务器证书,以及服务器证书是否受信任,能够选择是否继续SSL链接。html
原文出自:http://www.chinaunix.net/jh/13/580856.html 算法
转载请注明原文出处,谢谢!apache
相关文章
- 1. Tomcat SSL配置
- 2. tomcat配置SSL
- 3. Tomcat 配置SSL
- 4. tomcat 配置ssl
- 5. Spring Boot 配置ssl证书实现https详细
- 6. Nginx+tomcat的详细配置
- 7. IDEA 2020 配置Tomcat(详细)
- 8. Tomcat ssl 实现
- 9. Tomcat配置SSL(8443)
- 10. Tomcat 的 SSL 配置
- 更多相关文章...
- • MyBatis配置文件详解 - MyBatis教程
- • MySQL免安装版配置教程 - MySQL教程
- • ☆基于Java Instrument的Agent实现
- • IntelliJ IDEA 代码格式化配置和快捷键
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 融合阿里云,牛客助您找到心仪好工作
- 2. 解决jdbc(jdbctemplate)在测试类时不报错在TomCatb部署后报错
- 3. 解决PyCharm GoLand IntelliJ 等 JetBrains 系列 IDE无法输入中文
- 4. vue+ant design中关于图片请求不显示的问题。
- 5. insufficient memory && Native memory allocation (malloc) failed
- 6. 解决IDEA用Maven创建的Web工程不能创建Java Class文件的问题
- 7. [已解决] Error: Cannot download ‘https://start.spring.io/starter.zip?
- 8. 在idea让java文件夹正常使用
- 9. Eclipse启动提示“subversive connector discovery”
- 10. 帅某-技巧-快速转帖博主文章(article_content)
欢迎关注本站公众号,获取更多信息
相关文章
- 1. Tomcat SSL配置
- 2. tomcat配置SSL
- 3. Tomcat 配置SSL
- 4. tomcat 配置ssl
- 5. Spring Boot 配置ssl证书实现https详细
- 6. Nginx+tomcat的详细配置
- 7. IDEA 2020 配置Tomcat(详细)
- 8. Tomcat ssl 实现
- 9. Tomcat配置SSL(8443)
- 10. Tomcat 的 SSL 配置