Tomcat配置SSL的双向认证
证书保存在服务器端,用户通过浏览器访问时,需要将证书下载保存到本地,表示信任服务器。
同样浏览器中的证书也需要保存到服务器的证书库中,表明当前浏览器的证书是可信的。
环境:tomcat-6.0.18、jdk1.6.0_18
1. 为服务器生成证书
使用keytool 为Tomcat 生成证书,假定目标机器的域名是"localhost",keystore 文件存放在"e:\keytool\tomcat.keystore",口令为"aaaaaaa",使用如下命令生成:
C:\java\jdk1.6.0_18\bin>keytool -genkeypair -v -alias tomcat -keyalg RSA -keystore e:\keytool\tomcat.keystore -dname "CN
=localhost,OU=hansky,O=cr,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa
正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):
CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn
[正在存储 e:\keytool\tomcat.keystore]
如果Tomcat 所在服务器的域名不是"localhost",应改为对应的域名,如"www.sina.com.cn",否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入"localhost"。
2. 生成客户端证书
为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成:
C:\java\jdk1.6.0_18\bin>keytool -genkeypair -v -alias lcl -keyalg RSA -storetype PKCS12 -keystore e:\keytool\lcl.p12 -dname "CN=lcl,OU=lc,O=r,L=bj,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa
正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):
CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
[正在存储 e:\keytool\lcl.p12]
对应的证书库存放在"e:\keytool\lcl.p12",客户端的CN可以是任意值。稍候,我们将把这个"my.p12"证书库导
入到IE 和Firefox 中。
3. 让服务器信任客户端证书
由于是双向SSL 认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。
由于不能直接将PKCS12 格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER 文件,使用如下
命令:
C:\java\jdk1.6.0_18\bin>keytool -exportcert -alias lcl -keystore e:\keytool\lcl.p12 -storetype PKCS12 -storepass aaaaaaa -rfc -file e:\keytool\lcr.cer
保存在文件中的认证 <e:\keytool\lcr.cer>
通过以上命令,客户端证书就被我们导出到"e:\keytool\lcr.cer"文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:
C:\java\jdk1.6.0_18\bin>keytool -importcert -v -file e:\keytool\lcr.cer -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa
所有者:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
签发人:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
序列号:4cd90399
有效期: Tue Nov 09 16:17:29 CST 2010 至Mon Feb 07 16:17:29 CST 2011
证书指纹:
MD5:A4:BB:D1:E6:35:60:22:CC:DC:EF:6E:D9:B0:5C:2C:C7
SHA1:12:90:4B:7A:C0:D8:EB:CC:7B:A7:15:8A:05:46:AC:F7:AE:BF:0E:62
签名算法名称:SHA1withRSA
版本: 3
信任这个认证? [否]: y
认证已添加至keystore中
[正在存储 e:\keytool\tomcat.keystore]
通过list 命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证
书:
C:\java\jdk1.6.0_18\bin>keytool -list -v -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa
Keystore 类型: JKS
Keystore 提供者: SUN
您的 keystore 包含 2 输入
别名名称: tomcat
创建日期: 2010-11-9
项类型: PrivateKeyEntry
认证链长度: 1
认证 [1]:
所有者:CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn
签发人:CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn
序列号:4cd9036e
有效期: Tue Nov 09 16:16:46 CST 2010 至Mon Feb 07 16:16:46 CST 2011
证书指纹:
MD5:F8:8D:CC:72:34:D2:A3:17:8B:7E:AC:6F:ED:E2:21:24
SHA1:B2:70:EC:86:27:79:88:05:E4:72:45:F3:93:38:2C:F6:A0:50:37:0C
签名算法名称:SHA1withRSA
版本: 3
*******************************************
*******************************************
别名名称: mykey
创建日期: 2010-11-9
输入类型: trustedCertEntry
所有者:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
签发人:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
序列号:4cd90399
有效期: Tue Nov 09 16:17:29 CST 2010 至Mon Feb 07 16:17:29 CST 2011
证书指纹:
MD5:A4:BB:D1:E6:35:60:22:CC:DC:EF:6E:D9:B0:5C:2C:C7
SHA1:12:90:4B:7A:C0:D8:EB:CC:7B:A7:15:8A:05:46:AC:F7:AE:BF:0E:62
签名算法名称:SHA1withRSA
版本: 3
*******************************************
*******************************************
4. 将e:\keytool\tomcat.keystore拷贝到tomcat的根目录下,我拷贝到c:\tomcat(这是我的tomcat安装目录)下
5. 配置tomcat
打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="tomcat.keystore" keystorePass="aaaaaaa"
truststoreFile="tomcat.keystore" truststorePass="aaaaaaa"/>
其中,clientAuth 指定是否需要验证客户端证书,如果该设置为"false",则为单向SSL 验证,SSL 配置可到此结束。如果clientAuth设置为"true",表示强制双向SSL验证,必须验证客户端证书。如果clientAuth设置为"want",则表示可以验证客户端证书,但如果客户端没有有效证书,也不强制验证。
6. 导入客户端证书
如果设置了clientAuth="true",则需要强制验证客户端证书。双击"e:\keytool\lcl.p12"即可将证书导入至IE,导入证书后,即可启动Tomcat,用IE 进行访问。如果需要用FireFox 访问,则需将证书导入至FireFox。
7. 测试
https://localhost:8443/
总结/************************************************************************************************/
/************************************************************************************************/
/************************************************************************************************/
/************************************************************************************************/
/************************************************************************************************/
命令:
1.生成服务器证书:
keytool -genkeypair -v -alias tomcat -keyalg RSA -keystore e:\keytool\tomcat.keystore -storepass tomcat -keypass tomcat (-keysize 1024 -validity 365) //-validity为证书有效期
2.生成客户端证书:
keytool -genkeypair -v -alias lcl -keyalg RSA -storetype PKCS12 -keystore e:\keytool\lcl.p12 -storepass tomcat -keypass tomcat (-validity 365)
3.使服务器信任客户端证书:
(A)先把客户端证书导出为一个单独的CER文件
keytool -exportcert -alias lcl -keystore e:\keytool\lcl.p12 -storetype PKCS12 -storepass tomcat -rfc -file e:\keytool\lcr.cer
(B)将该文件导入到服务器证书库:
keytool -importcert -v -file e:\keytool\lcr.cer -keystore e:\keytool\tomcat.keystore -storepass tomcat
4.查看检查服务端证书库:
keytool -list -v -keystore e:\keytool\tomcat.keystore -storepass tomcat
5.把tomcat.keystore放在tomcat根目录下
6.配置tomcat:
打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="tomcat.keystore" keystorePass="tomcat"
truststoreFile="tomcat.keystore" truststorePass="tomcat"/>
其中,clientAuth 指定是否需要验证客户端证书,如果该设置为"false",则为单向SSL 验证,SSL 配置可到此结束。如果clientAuth设置为"true",表示强制双向SSL验证,必须验证客户端证书。如果clientAuth设置为"want",则表示可以验证客户端证书,但如果客户端没有有效证书,也不强制验证。
7.导入客户端证书:
双击客户端证书文件-lcl.p12
8.测试
https://localhost:8443/
9.使tomcat全局都变为https:
添加Tomcat根目录下的/conf/web.xml:
<security-constraint>
<web-resource-collection>
<web-resource-name>SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
分享到:
相关推荐
### Tomcat配置SSL双向认证详解 #### 一、SSL双向认证概述 SSL(Secure Sockets Layer,安全套接层)是一种用于确保Web通信安全的技术,它通过加密数据传输来保护信息不被未授权访问。SSL协议的核心是实现客户端与...
Apache Tomcat配置SSL双向认证是实现安全通信的重要步骤,尤其对于需要高度安全性的Web应用程序。在本文中,我们将深入探讨如何在Tomcat 6环境中设置SSL双向认证,确保客户端和服务器之间的通信既加密又经过身份验证...
通过 Tomcat 实现 SSL 双向认证需要同时配置 Web 服务器证书和客户端证书,并在服务器和客户端之间正确安装根证书。配置 Tomcat 实现 SSL 双向认证可以提高数据传输的安全性,保护网络通信的安全。
本文将详细介绍如何在 Tomcat 中实现 SSL 双向认证,包括使用 JDK 的 keytool 工具创建证书、配置 Tomcat 服务器和客户端证书等。 一、SSL 双向认证的重要性 在 Web 应用程序中,安全性是非常重要的,特别是在涉及...
本资源是一个 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证配置示例。详细如何配置请参考博客《图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》,地址是:...
在IT行业中,安全通信是至关重要的,特别是...通过上述步骤,你可以在Tomcat上实现一个完整的SSL双向认证环境,并利用Java和Apache HttpClient进行安全的通信。这个过程对于理解网络安全和提高应用安全性具有重要意义。
通过上述步骤,我们可以在Tomcat6上成功配置SSL双向认证,增强了Web服务的安全性和可信度。然而,实际操作中还需考虑证书的有效期管理、备份策略以及密钥长度的选择等问题,以确保长期的系统稳定性和安全性。此外,...
Tomcat 服务器配置 HTTPS 双向认证是指在 Tomcat 服务器上配置 SSL/TLS 加密协议,以便在客户端和服务器之间建立安全的连接。本文将指导您如何配置 Tomcat 服务器上的 HTTPS 双向认证。 一、生成服务器证书 使用 ...
总结,Tomcat下的SSL双向认证是通过配置Keystore、Truststore,修改Tomcat的服务器配置,并确保客户端正确配置来实现的。这一过程增强了服务器与客户端之间的通信安全性,对于保护敏感数据传输尤其重要。
这是我实战的笔记,全程直播。 #### Tomcat和Openssl构建HTTPS双向认证 ###### ...Linux下安装OpenSSL 一、创建服务器证书、客户端证书以及CA ...2、配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书)
在这个场景中,我们将探讨如何在Tomcat 6和5.5版本中配置SSL双向认证,并使用openssl工具生成必要的密钥文件。 **一、生成CA证书** 创建一个自签名的根证书颁发机构(Root CA)是SSL双向认证的第一步。这可以通过...
3. **配置SSL支持**:在Tomcat的配置文件`server.xml`中需要启用SSL端口(默认是8443)。这个步骤是设置SSL通信的关键,为后续的HTTPS连接打下基础。 4. **Android平台SSL支持**:在Android开发中,需要引入特定的...
##### 6.2 修改Tomcat配置文件 - **启用HTTPS**: - 在`server.xml`文件中找到`<Connector>`元素,确保`SSLEnabled="true"`。 - **配置双向认证**: - 设置`clientAuth="true"`以启用客户端证书认证。 - 设置`...
以上就是Tomcat配置SSL的基本流程。在实际操作中,你可能还需要考虑其他因素,如证书链的导入、支持HSTS(HTTP Strict Transport Security)以强制浏览器始终使用HTTPS、以及配置Ciphers以确保最佳的安全性和兼容性...
#### 一、SSL与双向认证基础概念 - **SSL(Secure Sockets Layer)**:安全套接层协议,用于为互联网通信提供安全保障的一种技术。它通过加密数据来保护传输过程中的信息安全。 - **HTTPS(HTTP Secure)**:基于...