`
cctodayer
  • 浏览: 986 次
  • 性别: Icon_minigender_1
  • 来自: 深圳
最近访客 更多访客>>
文章分类
社区版块
存档分类
最新评论

TOMCAT-SSL双向认证-配置实例

 
阅读更多
SSL (Secure Socket Layer - 安全套接字层)
功能:保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,确保数据在网络上之传输过程中不会被截取,防止篡改。

如何让我们的WEB应用程序应用SSL安全保障?经过几天摸索,终于实现 TOMCAT+SSL 双向认证,也就是说,首先,客户端将要认证服务器的安全性,确保访问的是正确的服务器,而非假冒的钓鱼网站;其次,服务器也要认证客户端的安全性,只有那些拥有服务器授权证书的客户端才可以访问。

下面请遵循详细步骤
1.       在D盘建立目录:mykeys
2.       启动命令行,并转移到 d:/mykeys
a)         创建服务器密钥,其密钥库为 d:/mykeys/server.ks,注意keypass和storepass保持一致,它们分别代表 密钥密码和密钥库密码,注意 CN=localhost 中,localhost表示要配置SSL的主机名,不能任意指定
D:/mykeys>keytool -genkey -v -alias serverKey -dname "CN=localhost" -keyalg RSA -keypass rwm258 -keystore server.ks -storepass rwm258
b)        创建客户端密钥,其密钥库为 d:/mykeys/client.p12,注意这个密钥库的后缀名,注意密钥库类型PKCS12
D:/mykeys>keytool -genkey -v -alias clientKey -dname "CN=SomeOne" -keyalg RSA -keypass lyl147 -keystore client.p12 -storepass lyl147 -storetype PKCS12
c)        将客户端密钥导出为证书文件
D:/mykeys>keytool -export -alias clientKey -file clientKey.cer -keystore client.p12 -storepass lyl147 -storetype PKCS12
d)        将上述客户端密钥文件导入服务器证书库,并设置为信任证书;注意会问你是否信任该证书,回答 y 即可
D:/mykeys>keytool -import -v -alias clientKey -file clientKey.cer -keystore server.ks -storepass rwm258
3.       为了在本机浏览器中进行SSL访问,请:双击 d:/mykeys/client.p12 ,将启动证书向导
a)         第2步:要导入的文件 文件名  D:/mykeys/client.p12
b)        第3步:为私钥键入密码lyl147 ,勾选:标志此密钥为可导出的
c)        第4步:证书存储,选:将所有的证书放入下列存储区,然后,浏览-个人
d)        现在,打开IE,查看证书:工具-Internet选项-内容-证书-个人,可以看到 SomeOne 证书已被安装
4.       配置TOMCAT服务器,以支持SSL认证,编辑文件:%tomcat_home%/conf/server.xml,下面这段配置代码本来是被屏蔽的,现在请取消其屏蔽,并相应增加密钥库的配置,其中clientAuth="true" 用以启动双向认证,否则,只有客户端认证服务器-单向
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="D:/mykeys/server.ks" keystorePass="rwm258"
truststoreFile="D:/mykeys/server.ks " truststorePass=" rwm258" />
5.       启动 TOMCAT,然后在IE浏览器中访问:https://localhost:8443/
a)         将弹出一个消息框,这是要客户端认证服务器,查看证书可看到服务器证书为 localhost ,回顾前面的步骤,正是我们创建的那个服务器证书;这里点 是
b)        页面出现,说明客户端被允许访问
6.       现在,再次打开IE,工具-Internet选项-内容-证书-个人 ,删除那个 SomeOne 证书
a)         现在,再次在IE浏览器中访问:https://localhost:8443/ 你会发现,回顾前面的 3 步骤,你会明白为什么要将客户端证书导入 IE 浏览器;
7.       请再次重复 3 步骤,之后再尝试访问

OK,至此,我们在本机上SSL双向配置已经成功,那么,换另一台电脑来访问本机服务器如何处理呢?很简单,把 d:/mykeys/client.p12 复制到该机器,然后执行 3 步骤,将这个证书导入到该机器的 IE 浏览器个人证书中,记得密码是:lyl147;当然,在那台电脑上访问时,要将localhost修改为本机主机名或IP地址

-------------------------------------------------------------------

要使你自己的WEB程序应用SSL安全访问,请遵循如下配置
在你应用的 web.xml 文件的 <web-app></web-app> 中加入如下配置
<login-config>
             <!-- Authorization setting for SSL -->
        <auth-method>CLIENT-CERT</auth-method>
        <realm-name>Client Cert Users-only Area</realm-name>
    </login-config>
    <security-constraint>
             <!-- Authorization setting for SSL -->
        <web-resource-collection >
            <web-resource-name >SSL</web-resource-name>
            <url-pattern>/*</url-pattern>
        </web-resource-collection>
        <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
</security-constraint>

你会发现,即使使用 http://....:8080 来访问你的应用程序,它也会重定向为 https://....8443 访问,也就是说,你的应用已经强制使用SSL安全访问层
OK,现在,充分享受 SSL 安全访问服务吧

此外,你还可以在你的程序中验证客户证书,实现客户端证书登录,具体这里不谈了,下次给出完整程序
转自http://blog.csdn.net/nimmy/article/details/5490990
分享到:
评论

相关推荐

    基于Tomcat搭建SSL双向认证示例【100012422】

    在IT行业中,安全通信是至关重要的,特别是...通过上述步骤,你可以在Tomcat上实现一个完整的SSL双向认证环境,并利用Java和Apache HttpClient进行安全的通信。这个过程对于理解网络安全和提高应用安全性具有重要意义。

    apache-tomcat-9.0.52-linux.zip

    6. **安全管理**:Tomcat的安全性至关重要,可以通过配置`context.xml`、`server.xml`和`web.xml`文件来限制访问权限、设置SSL/TLS连接、管理用户角色等。 7. **日志与监控**:Tomcat有内置的日志系统,可以帮助...

    apache-tomcat-9.0.41-windows-x64.zip

    8. **管理工具**:压缩包中的`bin`目录包含了用于管理Tomcat的各种命令行工具,如`catalina.sh`(或`.bat`),用于启动、停止和管理Tomcat实例。 9. **日志系统**:Tomcat的日志系统也进行了改进,提供了更好的诊断...

    keytool+tomcat配置HTTPS双向证书认证结合web实例

    ### keytool+Tomcat配置HTTPS双向证书认证结合Web实例 #### 概述 本文将详细介绍如何使用`keytool`工具配合Tomcat服务器实现HTTPS双向证书认证,并通过具体示例加以说明。该方案主要应用于需要对访问来源进行严格...

    AndroidHttpClient访问Tomcat双向SSL验证服务器.pdf

    - 更多关于Java实现SSL双向认证的信息可参考:“java实现SSL双向认证”。 3. **OpenSSL命令行测试**: - 使用`OpenSSL`命令行工具直接连接到`Tomcat`服务器,以测试SSL双向验证过程。 ```bash openssl s_client...

    Apache 2 mod_jk tomcat 5 双向SSL认证 传递证书信息

    5. **Tomcat服务器配置**:在`server.xml`中,需要配置`Connector`元素,启用SSL并设置相关的SSL属性,如`clientAuth`(设置为"true"以启用双向认证)、`keyAlias`(证书别名)和`keystoreFile`(存放私钥的文件路径...

    Tomcat-7.0 / 8.0/ 8.5版本

    - 对JMX(Java Management Extensions)进行了改进,便于监控和管理Tomcat实例。 在使用这些版本的Tomcat时,用户通常会解压缩rar格式的文件,然后通过修改`conf`目录下的配置文件来定制服务器的行为,如`server....

    apache-tomcat-9.0.33.zip

    2. **SSL/TLS优化**:Tomcat 9.0.33在处理SSL连接时有显著的性能提升,支持ALPN(Application-Layer Protocol Negotiation)和NPN(Next Protocol Negotiation),可以更好地配合HTTP/2协议。 3. **WebSocket API**...

    linux nginx双向认证服务搭建

    ### Linux Nginx 双向认证服务搭建与Tomcat SSL步骤详解 #### 一、前言 在现代网络环境中,安全成为了不可忽视的关键因素。为了确保数据传输的安全性,使用HTTPS协议来保护通信内容变得至关重要。本文将详细介绍...

    tomcat-8.5

    3. **SSL/TLS改进**:增强了SSL配置,支持更安全的TLS协议版本,并且可以方便地配置证书和密钥库,提升了网络安全。 4. **WebSocket API支持**:Tomcat 8.5包含了对WebSocket API的全面支持,这使得开发者可以创建...

    apache-tomcat7-apache-tomcat8.zip

    5. **更好的多实例管理**:支持在同一台机器上部署多个独立的Tomcat实例,简化了集群和负载均衡的配置。 6. **改进的部署**:支持热部署,可以在不中断服务的情况下更新应用。 7. **安全增强**:加强了默认的安全...

    tomcat压缩包

    如果要将Tomcat与Eclipse集成,可以通过Eclipse的“Servers”视图导入Tomcat实例,这样可以直接在IDE中管理和调试Web应用。在Eclipse中,右键点击“Servers”视图,选择“New”-&gt;"Server",然后选择Apache Tomcat v...

    Tomcat_Tomcat

    6. **JMX(Java Management Extensions)**:通过JMX,管理员可以远程监控和管理Tomcat实例,查看服务器状态,进行故障排查。 7. **错误页面和过滤器**:7.0版本支持自定义错误页面,允许开发者为特定的HTTP状态码...

    tomcat8压缩包

    - **安全配置**:提供了更精细的安全配置选项,包括SSL/TLS配置,支持最新的加密算法。 - **角色和权限管理**:加强了基于角色的访问控制(RBAC),有助于实现应用级别的安全性。 - **安全漏洞修复**:定期发布...

    Spring Security3技术手册

    - **13.4.3 为Tomcat配置SSL** - 为Tomcat服务器配置SSL。 - **示例代码**: Tomcat配置文件示例。 **14. Basic认证** - **14.1 配置Basic验证** - 在Spring Security中启用Basic认证。 - **示例代码**: 在`...

    Tomcat 7.0

    9. **WebSocket支持**:Tomcat 7.0开始支持WebSocket协议,这是一种双向通信协议,允许服务器和客户端之间实时、低延迟地交换数据。 10. **性能优化**:Tomcat 7.0对内存管理、线程池和垃圾回收进行了优化,提升了...

    Tomcat 9.0

    - 提供了更好的JMX监控工具,帮助管理员监控和管理Tomcat实例,包括内存使用情况、线程池状态等。 5. **新特性与API支持** - 支持Servlet 4.0规范,包括异步I/O处理和更强大的错误处理机制。 - 集成了Java EE 8...

    tomcat8.0解压版

    4. **更好的安全管理**: 8.0版本加强了安全管理,包括加强的用户认证机制、角色管理和访问控制,以及更强大的SSL/TLS支持,可以配置更安全的加密协议和套接字选项。 5. ** WebSocket支持**: 随着Java EE 7的...

Global site tag (gtag.js) - Google Analytics