Debain8 Tomcat8 JDK8 实现SSL双向验证
2016-01-13 10:20
615 查看
先说说环境:
系统:Debain8、Tomcat8、JDK8
实现目标:使用JDK自带的keytool实现SSL双向加密
1.为服务器生成证书
keytool -genkey -v -alias tomcat -keyalg RSA -keystore /home/tomcat/conf/ssl/tomcat.keystore -validity 36500
![](https://oscdn.geek-share.com/Uploads/Images/Content/202005/10/b90ad9e7368cea543ba96e2156024d1e)
/home/tomcat/conf/tomcat.keystore:证书的存储路径及名字可以自定义
-validity 36500:证书有效期
2.为客户端生成证书
keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore /home/tomcat/conf/ssl/client.key.p12
![](https://oscdn.geek-share.com/Uploads/Images/Content/202005/10/837409cde593e01577da1eaacf46ee65)
3.让服务器端信任客户端证书
1)、将客户端证书导出为CER文件由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。因不能直接将PKCS12格式的证书库导入服务器证书库,将客户端证书导出为一个单独的CER文件
keytool -export -alias mykey -keystore /home/tomcat/conf/ssl/client.key.p12 -storetype PKCS12 -storepass password
-rfc -file /home/tomcat/conf/ssl/client.key.cer
注:password为客户端证书的密码
![](https://oscdn.geek-share.com/Uploads/Images/Content/202005/10/c6acbba66a8072031c79902344e03f81)
2)、将CER文件导入到服务器的证书库
keytool -import -alias train -file/home/tomcat/conf/ssl/client.key.cer
-keystore
/home/tomcat/conf/ssl/tomcat.keystore
![](https://oscdn.geek-share.com/Uploads/Images/Content/202005/10/7945f35f3a87d8e0155308ca5091ea94)
3)、检查安装结果
keytool -list -keystore /home/tomcat/conf/ssl/tomcat.keystore
![](https://oscdn.geek-share.com/Uploads/Images/Content/202005/10/acde8f44e542c5ee17b633f448569c11)
4.让客户端信任服务器证书
由于是双向SSL认证,客户端也要验证服务器证书,因此,必须把服务器证书添加到浏览的“受信任的根证书颁发机构”。由于不能直接将keystore格式的证书库导入,必须先把服务器证书导出为一个单独的CER文件,使用如下命令
keytool -keystore /home/tomcat/conf/ssl/tomcat.keystore
-export -alias tomcat -file
/home/tomcat/conf/ssl/tomcat.cer
![](https://oscdn.geek-share.com/Uploads/Images/Content/202005/10/36e7d22263902ae38341d63095b54a6d)
5.配置tomcat
属性说明:
clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证
keystoreFile:服务器证书文件路径
keystorePass:服务器证书密码
truststoreFile:用来验证客户端证书的根证书,此例中就是服务器证书
truststorePass:根证书密码
6.客户端安装证书以windows为例
执行上面的步骤有了以下几个文件
![](https://oscdn.geek-share.com/Uploads/Images/Content/202005/10/793b953f322902a086fa7230bd30bdb6)
我们需要的是client.key.p12和tomcat.cer
p12直接点击安装就是了 中间输入一次密码
tomcat.cer需要把它放在下图亮色区域
![](https://oscdn.geek-share.com/Uploads/Images/Content/202005/10/621b6098faca7586ac3a9dc38cf81206)
到此搞定 附上一个访问的页面
![](https://oscdn.geek-share.com/Uploads/Images/Content/202005/10/07d26a386cd8afef834160da289b9af3)
最后ps:web项目需要在web.xml中加如下列配置以让http强制跳转到https
tomcat自动跳转到https和端口修改参考点击打开链接
系统:Debain8、Tomcat8、JDK8
实现目标:使用JDK自带的keytool实现SSL双向加密
1.为服务器生成证书
keytool -genkey -v -alias tomcat -keyalg RSA -keystore /home/tomcat/conf/ssl/tomcat.keystore -validity 36500
/home/tomcat/conf/tomcat.keystore:证书的存储路径及名字可以自定义
-validity 36500:证书有效期
2.为客户端生成证书
keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore /home/tomcat/conf/ssl/client.key.p12
3.让服务器端信任客户端证书
1)、将客户端证书导出为CER文件由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。因不能直接将PKCS12格式的证书库导入服务器证书库,将客户端证书导出为一个单独的CER文件
keytool -export -alias mykey -keystore /home/tomcat/conf/ssl/client.key.p12 -storetype PKCS12 -storepass password
-rfc -file /home/tomcat/conf/ssl/client.key.cer
注:password为客户端证书的密码
2)、将CER文件导入到服务器的证书库
keytool -import -alias train -file/home/tomcat/conf/ssl/client.key.cer
-keystore
/home/tomcat/conf/ssl/tomcat.keystore
3)、检查安装结果
keytool -list -keystore /home/tomcat/conf/ssl/tomcat.keystore
4.让客户端信任服务器证书
由于是双向SSL认证,客户端也要验证服务器证书,因此,必须把服务器证书添加到浏览的“受信任的根证书颁发机构”。由于不能直接将keystore格式的证书库导入,必须先把服务器证书导出为一个单独的CER文件,使用如下命令
keytool -keystore /home/tomcat/conf/ssl/tomcat.keystore
-export -alias tomcat -file
/home/tomcat/conf/ssl/tomcat.cer
5.配置tomcat
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="/home/tomcat/conf/ssl/tomcat.keystore" keystorePass="888888" truststoreFile="/home/tomcat/conf/ssl/tomcat.keystore" truststorePass="888888" />
属性说明:
clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证
keystoreFile:服务器证书文件路径
keystorePass:服务器证书密码
truststoreFile:用来验证客户端证书的根证书,此例中就是服务器证书
truststorePass:根证书密码
6.客户端安装证书以windows为例
执行上面的步骤有了以下几个文件
我们需要的是client.key.p12和tomcat.cer
p12直接点击安装就是了 中间输入一次密码
tomcat.cer需要把它放在下图亮色区域
到此搞定 附上一个访问的页面
最后ps:web项目需要在web.xml中加如下列配置以让http强制跳转到https
<security-constraint> <web-resource-collection> <web-resource-name>securedapp</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
tomcat自动跳转到https和端口修改参考点击打开链接
相关文章推荐
- 手工修改Tomcat的conf/server.xml需要删除并重新创建eclipse的server
- win10安装tomcat遇到的小问题
- 在基于tomcat的web project中加载dll文件的方法(来源于实际项目经验)
- 不把项目添加到tomcat目录下发布的处理(转)之二
- 不把项目添加到tomcat目录下发布的处理(转)
- Tomcat response header & server info
- Tomcat结合Nginx使用入门
- centos7 安装部署jdk环境及tomcat
- Centos6.3 安装tomcat及开机启动
- Linux下Tomcat的安装
- Tomcat 使用apr优化
- 命令行启动tomcat,怎么配置
- Tomcat - SSL操作大全
- Tomcat虚拟主机配置 一个Ip对应多个项目
- tomcat 内存调整
- Eclipse+多国语言包插件+Tomcat插件+Lomboz插件+Myeclipse插件的安装与配置
- houxiurong.com 关于Tomcat7部署 一台机器部署两个项目,一个用域名访问,一个用IP访问
- Tomcat日志系统详细配置
- java通过nginx+apache tomcat接收用户头像图片上传,实现网站动态和静态域名访问图片的详细教程
- 利用systemd 实现 tomcat 多实例