`
zlbabel
  • 浏览: 9772 次
  • 性别: Icon_minigender_1
  • 来自: 湖南
最近访客 更多访客>>
社区版块
存档分类
最新评论

keytool+tomcat配置HTTPS双向证书认证(无openssl)

    博客分类:
  • java
阅读更多

在Tomcat 6中配置SSL双向认证是相当容易的,本文将介绍如何使用JDK的keytool来为Tomcat配置双向SSL认证。

系统需求:

JDK 5.0
Tomcat 6.0.16

定位到你要生成keystore的路径

第一步:为服务器生成证书

使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件存放在“C:\tomcat.keystore”,口令为“password”,使用如下命令生成:

keytool -genkey -v -alias tomcat -keyalg RSA -keystore tomcat.keystore

如果Tomcat所在服务器的域名不是“localhost”,应改为对应的域名,如“www.sina.com.cn”,否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”


第二步:为客户端生成证书

下一步是为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成:

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore c:\my.p12

对应的证书库存放在“C:\my.p12”,客户端的CN可以是任意值。稍候,我们将把这个“my.p12”证书库导入到IE和Firefox中。

第三步:让服务器信任客户端证书

由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件,使用如下命令:

keytool -export -alias mykey -keystore c:\my.p12 -storetype PKCS12 -storepass password -rfc -file c:\my.cer

通过以上命令,客户端证书就被我们导出到“C:\my.cer”文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:


keytool -import -v -file c:\my.cer -keystore tomcat.keystore


通过list命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书:


keytool -list -keystore tomcat.keystore

第四步:配置Tomcat服务器

打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="true" sslProtocol="TLS"
    keystoreFile="C:/tomcat.keystore" keystorePass="password"
    truststoreFile="C:/tomcat.keystore" truststorePass="password"
/>

第五步:导入客户端证书

如果设置了clientAuth="true",则需要强制验证客户端证书。双击“C:\my.p12”即可将证书导入至IE:
p12 证书直接双击然后按提示下一步就可导入。

 

转自:http://blog.sina.com.cn/s/blog_4fb846a90100em4m.html

分享到:
评论

相关推荐

    tomcat 实现https 双向认证通信

    本文主要介绍如何在Linux平台上,使用Apache Tomcat、OpenSSL以及Java Keytool来实现HTTPS通信,并进一步完成双向认证的功能。文章假设读者具备基本的Linux操作技能以及对Tomcat有一定的了解。 #### 环境配置 - **...

    https双向认证证书配置详解

    ### HTTPS双向认证证书配置详解 #### 一、前置知识与概念理解 在开始具体操作之前,我们先来明确几个核心概念及其相互之间的关系。 - **DER/CER**: 这些文件通常是二进制格式,仅包含证书而不包含私钥。 - **CRT*...

    tomcat的双向ssl配置

    4. **配置Tomcat**:将生成的服务器证书和私钥导入到Tomcat的 keystore 中,同时设置Tomcat服务器支持客户端认证,这通常需要修改`server.xml`中的`Connector`元素。 5. **DOS脚本**:文件`c_server.bat`, `c_root....

    Tomcat6和5.5配置使用SSL双向认证(使用openssl生成密钥).rar

    在这个场景中,我们将探讨如何在Tomcat 6和5.5版本中配置SSL双向认证,并使用openssl工具生成必要的密钥文件。 **一、生成CA证书** 创建一个自签名的根证书颁发机构(Root CA)是SSL双向认证的第一步。这可以通过...

    tomcat配置https单项认证

    标题中的“Tomcat配置HTTPS单项认证”涉及到的是在Apache Tomcat服务器上设置安全套接层(SSL)以实现HTTPS通信的过程,尤其是关于单向认证(也称为客户端认证)的配置。在互联网上,HTTPS是HTTP协议的安全版本,...

    配置适用于正式使用环境下的Tomcat Web服务器双向SSL认证1

    以下是一个针对正式使用环境下的Tomcat双向SSL认证的配置流程: 1. **准备工作** - 首先,确保安装了JDK 1.4.x及以上版本,因为Tomcat 5.0.x需要JSSE(Java Secure Socket Extension)的keytool工具。 - 下载并...

    基于Tomcat搭建SSL双向认证示例【100012422】

    2. **配置服务器证书**:将服务器证书和私钥导入Tomcat的`conf/server.xml`文件中的`&lt;Connector&gt;`标签,设置`secure="true"`, `scheme="https"`和`SSLEnabled="true"`属性,并添加`keyAlias`, `keystoreFile`, `...

    Tomcat6配置使用SSL双向认证

    ### Tomcat6配置使用SSL双向认证 在网络安全领域,SSL(Secure Sockets Layer,安全套接层)协议及其后续版本TLS(Transport Layer Security,传输层安全)被广泛应用于保护网络通信的安全性和数据完整性。双向认证...

    tomcat ssl单向/双向

    总结来说,"Tomcat SSL 单向/双向"涉及到网络通信的安全性,涵盖SSL证书的配置、服务器和客户端的认证,以及源码层面的理解。对于开发和运维人员,掌握这些知识对于构建安全的Web服务至关重要。

    回调地址CA证书制作说明1

    6. 配置Tomcat的双向认证。 最后,通过`openssl s_client`命令进行模拟建链,以验证配置是否成功。对于单向认证和双向认证,分别使用不同的命令参数: - 单向认证模拟建链:`openssl s_client -connect ip:port -...

    android https双向通信验证调研报告

    使用Keytool和OpenSSL生成CSR(Certificate Signing Request),然后使用CA(Certificate Authority)签发证书,或者自签发证书。 ### 4. 搭建服务器端 **4.1. 在Eclipse中新建Dynamic Web Project,取名为...

    opesnssl证书配置和使用1

    【openssl证书配置与使用】 在IT领域,网络安全是至关重要的,而SSL(Secure Sockets Layer)证书则是确保网站数据传输安全的重要工具。本实验主要涉及的是如何在不同的操作系统上配置和使用openssl证书,以实现...

    java获取数字证书信息

    在本篇文章中,我们将深入探讨如何使用Java来获取数字证书的信息,包括使用TOMCAT和JDK搭建SSL服务的过程、如何用OpenSSL签发证书以及如何支持第三方CA等内容。 #### 一、使用TOMCAT和JDK搭建SSL服务 ##### 1. ...

    websocke通讯,支持https

    3. **生成SSL证书**:你可以使用Java的keytool工具或者OpenSSL来生成自签名证书,或者从权威的证书颁发机构(CA)获取证书。 4. **编写WebSocket应用**:在Java代码中,你需要创建一个继承自`javax.websocket....

Global site tag (gtag.js) - Google Analytics