`
kiki1120
  • 浏览: 314566 次
  • 性别: Icon_minigender_2
  • 来自: 上海
社区版块
存档分类
最新评论

Tomcat实现SSL配置

阅读更多

Tomcat双向认证的问题这么多,贴一篇我总结的Tomcat双向认证方法

 

tomcat实现SSL配置
编辑tomcat的配置文件server.xml,去掉下面SSL Connector的注释,修改为如下:
  <!-- Define an SSL HTTP/1.1 Connector on port 8443 -->

  <Connector className="org.apache.catalina.connector.http.HttpConnector"
          port="8443" minProcessors="5" maxProcessors="75"
          enableLookups="true"
    acceptCount="10" debug="0" scheme="https" secure="true">
    <Factory className="org.apache.catalina.net.SSLServerSocketFactory"
          clientAuth="false" keystoreFile="tomcat.keystore"
          keystorePass="tomcat" protocol="TLS"/>
  </Connector>


keystoreFile的路径是TOMCAT的安装路径下的tomcat.keystore(使用keytool生成的证书库文件)
>keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore


keystoreFile保存了服务器端的证书库,用于客户端认证。

常用的配置属性:
clientAuth
如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书,置该值为true。 
keystoreFile
如果创建的keystore文件不在Tomcat认为的缺省位置(一个在Tomcat运行的home目录下的叫.keystore的文件),则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。
keystorePass
如果使用了一个与Tomcat预期不同的keystore(和证书)密码,则加入该属性。 
keystoreType
如果使用了一个PKCS12 keystore,加入该属性。有效值是JKS和PKCS12。 
sslProtocol
socket使用的加密/解密协议。如果使用的是Sun的JVM,则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下,使用SSL。 
ciphers
此socket允许使用的被逗号分隔的密码列表。缺省情况下,可以使用任何可用的密码。 
algorithm
使用的X509算法。缺省为Sun的实现(SunX509)。对于IBM JVMS应该使用ibmX509。对于其它JVM,参考JVM文档取正确的值。 
truststoreFile
用来验证客户证书的TrustStore文件。 
truststorePass
访问TrustStore使用的密码。缺省值是keystorePass。 
truststoreType
如果使用一个不同于正在使用的KeyStore的TrustStore格式,加入该属性。有效值是JKS和PKCS12。 


使用https://localhost:8443 就可以进行ssl连接的检测

----------------------------------------------------------------------------------------
上诉的SSL连接是客户端单向认证服务器,如果双向认证,将server.xml文件的Connector配置
clientAuth="false" 
Java服务器端的证书库,服务器认证客户端时使用的根证书库。
证书库位置:JAVA_HOME/jre/lib/security/cacerts keystore密码为:changeit

将客户端个人证书的根证书导入服务器的证书库,就可以认证客户端。

服务器端证书的生成:
>keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore
>keytool -certreq -alias tomcat -file Server.csr -keystore tomcat.keystore 生成证书请求文件
使用openssl命令用根证书签名,再导入签名证书
>keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore
注意-trustcacerts选项,使用服务器的证书库认证该证书,首先要将根证书导入cacerts中。

----------------------------------------------------------------------------------------
Tomcat配置SSL,我出现的问题
我用openssl创建了CA证书,Server证书,Client证书。
使用keytool将Server证书导入tomcat.keystore文件中,将Tomcat的配置文件server.xml关于SSL的配置设为keystoreFile=tomcat.keystore.SSL连接时,客户端认证tomcat.keystore中的服务器证书。
将CA证书导入$JAVA_HOME\jre\lib\security\cacerts这个keystore中,用于验证客户端证书。
在IE中安装CA证书和Client证书(pkcs12,包含私钥的个人证书形式)。
建立SSL连接
https://localhost:8443,连接失败。

 

经过反复思量,知道问题所在,SSL连接时,客户端认证服务器时,需要验证服务器的签名,那么tomcat.keystore中就应该有Server的私钥。所以导入Server证书时,应该导入包含私钥的Server证书。

keytool命令不能导入私钥文件,可以通过在keystore中生成自签名证书,导出证书请求,用CA证书签名后,在导回的方法。
导回签名证书的过程
>keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore
注意-trustcacerts选项,使用服务器的证书库认证该证书,首先要将根证书导入Java的根证书库中:JAVA_HOME\jre\lib\security\cacerts中。

----------------------------------------------------------------------------------------
分析IE实现实现SSL连接的中的证书双向认证过程
在地址栏中输入
https://localhost:8443


客户端向服务器发送hello消息,tomcat服务器侦听8443端口,收到SSL连接的hello消息,服务器发送server certificate,并且发送client certificate request.客户端IE收到server certificate后取出issuer项,和IE受信任的根证书库中证书的subject比对,找到合适的根证书认证server certificate。并且同时向服务器发送client certificate,服务器收到client certificate后,tomcat服务器查找根证书库cacerts中的根证书的suject,找到合适的根证书认证client certificate.在认证的同时完成密钥协商。客户端认证结束后,IE会弹出"安全警报"对话框,用户可以查看服务器证书,以及服务器证书是否受信任,可以选择是否继续SSL连接。

分享到:
评论

相关推荐

    tomcat+SSL

    二、Tomcat实现SSL配置 **第一步:生成KeyStore** 使用`keytool`命令生成JKS类型的KeyStore文件,例如: ``` keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 730 -keystore D:\server....

    通过tomcat实现SSL双向认证

    通过 Tomcat 实现 SSL 双向认证需要同时配置 Web 服务器证书和客户端证书,并在服务器和客户端之间正确安装根证书。配置 Tomcat 实现 SSL 双向认证可以提高数据传输的安全性,保护网络通信的安全。

    windows环境tomcat应用实现SSL

    以上就是Windows环境下通过Tomcat实现SSL配置的详细过程,涉及到的主要知识点包括SSL/TLS协议、Java Keystore、keytool工具以及Tomcat的服务器配置。这个过程中,`java_security`标签可能指的是Java的安全机制,包括...

    Tomcat6 SSL配置文档

    **Tomcat6 SSL配置文档** 在互联网安全领域,SSL(Secure Sockets Layer)协议是确保数据传输加密的重要手段,广泛应用于Web服务器与浏览器之间的通信。Tomcat作为一款流行的开源Java应用服务器,支持SSL配置,以...

    Tomcat中实现https安全连接与SSL配置

    https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置https ssl Tomcat中实现https安全连接与SSL配置

    tomcat实现SSL双向认证

    本文将详细介绍如何在 Tomcat 中实现 SSL 双向认证,包括使用 JDK 的 keytool 工具创建证书、配置 Tomcat 服务器和客户端证书等。 一、SSL 双向认证的重要性 在 Web 应用程序中,安全性是非常重要的,特别是在涉及...

    Tomcat SSL 配置

    通过本文档,可以成功配置 Tomcat 的 SSL 功能,实现 HTTPS 协议的支持。 一、准备工作 为了配置 Tomcat 的 SSL 功能,需要安装 JDK 1.5 或更高版本,并配置 JAVA_HOME 环境变量。此外,还需要安装 tomcat 6 。 ...

    nginx、tomcat安装免费ssl安全证书配置

    - 使用在线SSL检测工具检查SSL配置是否正确。 至此,我们已经成功地在Nginx和Tomcat上配置了阿里云的免费SSL证书,实现了HTTPS访问。这不仅提升了网站的安全性,也提高了用户的信任度。注意定期更新证书,保持其...

    nginx和tomcat配置SSL和负载均衡配置

    ### Nginx 和 Tomcat 配置 SSL 与...通过以上步骤,可以实现 Tomcat 的 SSL 加密和负载均衡配置。需要注意的是,具体配置可能会因环境和需求的不同而有所变化。在实际操作过程中,应仔细检查官方文档以确保正确配置。

    Apache+tomcat+ssl配置+相关插件

    总的来说,Apache+Tomcat+SSL配置是一个涉及多方面知识的过程,包括网络协议、服务器配置、安全策略等。通过正确配置和使用相关插件,你可以构建起一个高效且安全的Web服务环境。在实际操作中,务必注意每个环节的...

    Tomcat配置SSL指导

    通过上述步骤,我们成功地为Apache Tomcat服务器配置了SSL/TLS证书,从而实现了Web应用的数据加密传输。这对于提高网站的安全性至关重要。同时,我们也学习了如何生成自签名证书、如何配置Tomcat使其支持HTTPS服务...

    Nginx+Tomcat配置SSL双向验证示例

    本资源是一个 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证配置示例。详细如何配置请参考博客《图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》,地址是:...

    tomcat配置ssl-单点登录(sso).rar

    总的来说,这个压缩包提供了实现基于CAS的Tomcat SSO的完整流程,包括SSL配置和跨域SSO的解决方案。通过阅读和按照这些文档操作,你应该能够成功地在你的Tomcat环境中部署一个安全的单点登录系统。

    Tomcat更换SSL证书方法(jks与pfx转换)

    ### Tomcat更换SSL证书方法(JKS与PFX转换) 在IT行业中,为了保障网络通信的安全性,使用SSL证书加密已经成为了一种标准做法。对于使用Tomcat作为应用服务器的企业或个人来说,有时候会遇到需要更换SSL证书的情况,...

    Tomcat5.5配置SSL精简版

    5. **修改Tomcat配置**:打开Tomcat的`conf/server.xml` 文件,找到`&lt;Connector&gt;` 标签,添加SSL配置。例如: ```xml SSLEnabled="true" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" ...

    Tomcat6配置SSL

    2. **重新启动Tomcat**: 保存`server.xml`后,重启Tomcat服务,SSL配置就会生效。 **五、测试SSL连接** 现在,你可以通过访问`https://your_domain:8443`来测试SSL连接是否成功。如果是自签名证书,浏览器可能会...

    Tomcat_SSL.rar_JAVA SSL _ssl_ssl java_tomcat_tomcat ssl

    Tomcat作为一款流行的Java应用服务器,支持SSL配置以实现HTTPS协议,提供加密通信和服务器身份验证。本教程将深入讲解如何在Tomcat中配置SSL,以便在开发和部署Java Web应用时,能够提供安全的数据交换环境。 首先...

Global site tag (gtag.js) - Google Analytics