Tomcat双向认证方法
tomcat实现SSL配置
编辑tomcat的配置文件server.xml,去掉下面SSL Connector的注释,修改为如下:
<!-- Define an SSL HTTP/1.1 Connector on port 8443 -->
<Connector className="org.apache.catalina.connector.http.HttpConnector"
port="8443" minProcessors="5" maxProcessors="75"
enableLookups="true"
acceptCount="10" debug="0" scheme="https" secure="true">
<Factory className="org.apache.catalina.net.SSLServerSocketFactory"
clientAuth="false" keystoreFile="tomcat.keystore"
keystorePass="tomcat" protocol="TLS"/>
</Connector>
keystoreFile的路径是TOMCAT的安装路径下的tomcat.keystore(使用keytool生成的证书库文件)
>keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore
keystoreFile保存了服务器端的证书库,用于客户端认证。
常用的配置属性:
clientAuth
如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书,置该值为true。
keystoreFile
如果创建的keystore文件不在Tomcat认为的缺省位置(一个在Tomcat运行的home目录下的叫.keystore的文件),则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。
keystorePass
如果使用了一个与Tomcat预期不同的keystore(和证书)密码,则加入该属性。
keystoreType
如果使用了一个PKCS12 keystore,加入该属性。有效值是JKS和PKCS12。
sslProtocol
socket使用的加密/解密协议。如果使用的是Sun的JVM,则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下,使用SSL。
ciphers
此socket允许使用的被逗号分隔的密码列表。缺省情况下,可以使用任何可用的密码。
algorithm
使用的X509算法。缺省为Sun的实现(SunX509)。对于IBM JVMS应该使用ibmX509。对于其它JVM,参考JVM文档取正确的值。
truststoreFile
用来验证客户证书的TrustStore文件。
truststorePass
访问TrustStore使用的密码。缺省值是keystorePass。
truststoreType
如果使用一个不同于正在使用的KeyStore的TrustStore格式,加入该属性。有效值是JKS和PKCS12。
使用https://localhost:8443 就可以进行ssl连接的检测
----------------------------------------------------------------------------------------
上诉的SSL连接是客户端单向认证服务器,如果双向认证,将server.xml文件的Connector配置
clientAuth="false"
Java服务器端的证书库,服务器认证客户端时使用的根证书库。
证书库位置:JAVA_HOME/jre/lib/security/cacerts keystore密码为:changeit
将客户端个人证书的根证书导入服务器的证书库,就可以认证客户端。
服务器端证书的生成:
>keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore
>keytool -certreq -alias tomcat -file Server.csr -keystore tomcat.keystore 生成证书请求文件
使用openssl命令用根证书签名,再导入签名证书
>keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore
注意-trustcacerts选项,使用服务器的证书库认证该证书,首先要将根证书导入cacerts中。
----------------------------------------------------------------------------------------
Tomcat配置SSL,我出现的问题
我用openssl创建了CA证书,Server证书,Client证书。
使用keytool将Server证书导入tomcat.keystore文件中,将Tomcat的配置文件server.xml关于SSL的配置设为keystoreFile=tomcat.keystore.SSL连接时,客户端认证tomcat.keystore中的服务器证书。
将CA证书导入$JAVA_HOME\jre\lib\security\cacerts这个keystore中,用于验证客户端证书。
在IE中安装CA证书和Client证书(pkcs12,包含私钥的个人证书形式)。
建立SSL连接https://localhost:8443,连接失败。
经过反复思量,知道问题所在,SSL连接时,客户端认证服务器时,需要验证服务器的签名,那么tomcat.keystore中就应该有Server的私钥。所以导入Server证书时,应该导入包含私钥的Server证书。
keytool命令不能导入私钥文件,可以通过在keystore中生成自签名证书,导出证书请求,用CA证书签名后,在导回的方法。
导回签名证书的过程
>keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore
注意-trustcacerts选项,使用服务器的证书库认证该证书,首先要将根证书导入Java的根证书库中:JAVA_HOME\jre\lib\security\cacerts中。
----------------------------------------------------------------------------------------
分析IE实现实现SSL连接的中的证书双向认证过程
在地址栏中输入https://localhost:8443
客户端向服务器发送hello消息,tomcat服务器侦听8443端口,收到SSL连接的hello消息,服务器发送server certificate,并且发送client certificate request.客户端IE收到server certificate后取出issuer项,和IE受信任的根证书库中证书的subject比对,找到合适的根证书认证server certificate。并且同时向服务器发送client certificate,服务器收到client certificate后,tomcat服务器查找根证书库cacerts中的根证书的suject,找到合适的根证书认证client certificate.在认证的同时完成密钥协商。客户端认证结束后,IE会弹出"安全警报"对话框,用户可以查看服务器证书,以及服务器证书是否受信任,可以选择是否继续SSL连接。
分享到:
相关推荐
文中所有内容通过本机运行,没有详细的原理介绍,原理介绍网上很多。
自己搭建的,nginx端实现https访问
https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置
在tomcat中实现https安全连接的方法
Apacahe实现转发多个tomcat的https请求,可让多个tomcat共用80端口
在maven环境使用tomcat插件启动项目时,可以使用该命令修改tomcat插件为https环境。一般作为本地开发环境改为https... 线上则需要另外安装tomcat,并且修改server.xml实现https。 文档里只说明了maven的tomcat插件。
NULL 博文链接:https://yhjhoo.iteye.com/blog/685522
这是我实战的笔记,全程直播。 #### Tomcat和Openssl构建HTTPS双向认证 ###### ...二、tomcat实现双向认证 1、创建服务器信任的CA证书库 2、配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书)
配置tomcat,实现https链接,简单,方便!
Nginx+Tomcat实现反向代理的案例,里面包括了https的配置,和普通配置。希望能给需要的人带来帮助,启动Tomcat,然后启动呢Nginx就可以直接做测试。100%成功。
linux.tomcat-session共享.redis.安装包
为了使网站或开发的软件使用https协议访问,使用keytool工具实现生成证书,并在tomcat1.6的配置文件上设置相应的代码实现访问地址形式如:https://localhost/login.jsp。
把java开发的war包后更新到linux服务器后,通过本资源的配置nginx+tomcat实现两台服务器负载均衡,并配置了https的访问方式,并同时支持ipv6网络的访问
window版本,使用nginx+tomcat实现集群架构。包含http集群和https2钟方式集群,解压即可以用。证书什么都已经配置好了。如果商业证书直接替换就可以了。
HTTPS实现步骤(tomcat)......................................................................
在tomcat中实现https安全连接的方法
很多网站使用https来确保网站的安全性,该文档详细的讲述了,如何使用在tomcat中使用https服务,如何使用jdk自带的keytool工具创建证书,并且实现服务端和客户端的双向认证。
第三部分:⼿写实现迷你版 Tomcat 第四部分:Tomcat 源码构建及核⼼流程源码剖析 第五部分:Tomcat 类加载机制剖析 第六部分:Tomcat 对 Https 的⽀持及 Tomcat 性能优化策略 nginx 第⼀部分:Nginx基础回顾(Nginx是...
NULL 博文链接:https://greatjone.iteye.com/blog/1160744
通过本地jdk实现搭建简单的https服务器,通过配置tomcat实现https的服务器,值得一看