`
YOUNG918
  • 浏览: 188711 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

Tomcat6.0配置SSL及 SSL认证详解

    博客分类:
  • web
阅读更多

Tomcat6.0配置SSL
一、为了节约时间,我这里就只根据我的配置过程进行描述,读者根据各自情况自己分析。
1、在命令行中进入%CATALINA_HOME%/bin目录下执行以下命令:
(1)%CATALINA_HOME%/bin> keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600
此时会在%TOMCAT_HOME%/bin下生成server.keystore 文件。
注:参数 -validity 指证书的有效期(天),缺省有效期很短,只有90天。
(2)%CATALINA_HOME%/bin> keytool -export -trustcacerts -alias tomcat -file server.cer -keystore  server.keystore -storepass changeit
这一步用于导出证书,此时会在%TOMCAT_HOME%/bin下生成server.cer 文件。
(3)%CATALINA_HOME%/bin> keytool -import -trustcacerts -alias tomcat -file server.cer -keystore  %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit
这一步是导入到证书信任库,大家可以观察%JAVA_HOME%/jre/lib/security/cacerts 这个文件,执行完此命令后,文件变大。
    附:keytool其它命令(列出信任证书库中所有已有证书,删除库中某个证书):
    keytool -list -v -keystore D:/sdks/jdk1.5.0_11/jre/lib/security/cacerts
   keytool -delete -trustcacerts -alias tomcat  -keystore  D:/sdks/jdk1.5.0_11/jre/lib/security/cacerts -storepass changeit

2、修改%TOMCAT_HOME%\conf\server.xml

找到这段代码:  


<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />


这段代码本来是注释掉的,把注释去掉,并且加上两个属性之后,如下:


    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
               keystoreFile="D:\tomcat6.0\bin\server.keystore"
               keystorePass="changeit" />


3、启动tomcat,访问 https://localhost:8443/,弹出一个安全警告的页面就OK了。


SSL认证详解
单向认证 SSL 协议的具体过程
①客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。

②服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。

③客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过, 通讯将断开;如果合法性验证通过,将继续进行第四步。

④用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的 “预主密码”传给服务器。

⑤如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书 以及加密过的“预主密码”一起传给服务器。

⑥如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户 提供证书的CA 是否可靠,发行CA 的公钥能否正确解开客户证书的发行 CA 的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码 ”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。

⑦服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。

⑧客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。

⑨服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。
⑩SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。

双向认证 SSL 协议的具体过程

① 浏览器发送一个连接请求给安全服务器。

② 服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。

③ 客户浏览器检查服务器送过来的证书是否是由自己信赖的 CA 中心所签发的。如果是,就继续执行协议;如果不是,客户浏览器就给客户一个警告消息:警告客户这个证书不是可以信赖的,询问客户是否需要继续。

④ 接着客户浏览器比较证书里的消息,例如域名和公钥,与服务器刚刚发送的相关消息是否一致,如果是一致的,客户浏览器认可这个服务器的合法身份。

⑤ 服务器要求客户发送客户自己的证书。收到后,服务器验证客户的证书,如果没有通过验证,拒绝连接;如果通过验证,服务器获得用户的公钥。

⑥ 客户浏览器告诉服务器自己所能够支持的通讯对称密码方案。

⑦ 服务器从客户发送过来的密码方案中,选择一种加密程度最高的密码方案,用客户的公钥加过密后通知浏览器。

⑧ 浏览器针对这个密码方案,选择一个通话密钥,接着用服务器的公钥加过密后发送给服务器。

⑨ 服务器接收到浏览器送过来的消息,用自己的私钥解密,获得通话密钥。

⑩ 服务器、浏览器接下来的通讯都是用对称密码方案,对称密钥是加过密的。

上面所述的是双向认证 SSL 协议的具体通讯过程,这种情况要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有 CA 证书,具体的过程相对于上面的步骤,只需将服务器端验证客户证书的过程去掉,以及在协商对称密码方案,对称通话密钥时,服务器发送给客户的是没有加过密的 (这并不影响 SSL 过程的安全性)密码方案。这样,双方具体的通讯内容,就是加过密的数据,如果有第三方攻击,获得的只是加密的数据,第三方要获得有用的信息,就需要对加密 的数据进行解密,这时候的安全就依赖于密码方案的安全。而幸运的是,目前所用的密码方案,只要通讯密钥长度足够的长,就足够的安全。这也是我们强调要求使 用 128 位加密通讯的原因。

分享到:
评论

相关推荐

    Tomcat6.0与SSL

    ### Tomcat 6.0与SSL配置详解:实现双向安全通信 #### 一、SSL技术概览 SSL(Secure Socket Layer),即安全套接层协议,是一项关键的网络安全技术,旨在确保Web浏览器与Web服务器之间的数据传输安全。通过在数据...

    tomcat 6.0安装包下载

    **Tomcat 6.0 安装与配置详解** Tomcat 6.0 是一个流行的开源Java Servlet容器,由Apache软件基金会开发,主要用于部署和运行Java Web应用程序。它实现了Servlet和JSP规范,是Java EE web应用服务器的一种轻量级...

    web服务器 tomcat6.0

    6. **安全管理**:Tomcat 6.0支持多种安全机制,如基本认证、digest认证、SSL/TLS加密通信等,通过`conf/server.xml`中的`&lt;Realm&gt;`元素进行配置,以保护Web应用免受未经授权的访问。 7. **性能优化**:Tomcat 6.0...

    tomcat6.0官方文档文档

    《Tomcat 6.0官方文档详解》 Tomcat 6.0是Apache软件基金会旗下的一个开源项目,作为Java Servlet和JavaServer Pages(JSP)的容器,它在Web服务器领域有着广泛的应用。官方文档是对Tomcat服务器使用的重要指南,为...

    tomcat 6.0

    Tomcat 6.0提供了基本的安全管理,包括用户角色、认证、授权和SSL支持。在`conf/tomcat-users.xml`中定义用户和角色,然后在`server.xml`或`context.xml`中配置安全约束。 ### 6. 性能优化 为了提高性能,可以调整...

    Tomcat 6.0

    **Apache Tomcat 6.0 知识点详解** Apache Tomcat是一款开源的Java Servlet容器,主要用于部署和运行Java Web应用程序。Tomcat 6.0是该系列的一个重要版本,它支持Java EE 5规范,提供了对Servlet 2.5和JSP 2.1的...

    Tomcat 5.5 Tomcat 6.0 安装版本

    **Apache Tomcat 5.5 和 6.0 安装及配置详解** Apache Tomcat 是一个开源的、基于Java Servlet和JavaServer Pages (JSP) 技术的Web应用服务器,由Apache软件基金会开发。它主要负责处理Java的动态内容,是许多企业...

    Tomcat6.0官方版.rar

    Tomcat 6.0支持多种安全机制,包括基本认证、FORM认证、SSL加密等。通过`conf/tomcat-users.xml`配置用户和角色,结合`conf/server.xml`中的 Realm 配置,可以实现细粒度的权限控制。 7. **性能优化** Tomcat 6.0...

    tomcat6.0

    【标题】:“Tomcat6.0详解” 【描述】:Tomcat6.0是一款由Apache软件基金会开发的开源Java Servlet容器,它实现了Java EE中的Web应用程序的Servlet和JSP规范。Tomcat以其轻量级、易用性和高效性著称,是部署Java ...

    Apache和Tomcat集群配置步骤(Apache2.2,Tomcat6.0).

    ### Apache和Tomcat集群配置详解 #### 一、软件准备 在进行Apache和Tomcat集群配置之前,首先需要准备所需的软件资源。 - **Apache 2.2**: - Windows平台: 从官方网站 [http://httpd.apache.org/download.cgi]...

    tomcat6.0服务器

    **Tomcat 6.0 服务器详解** Tomcat 6.0 是一款广泛使用的开源Java Servlet容器,由Apache软件基金会的Tomcat项目开发并维护。它主要负责运行基于Java的Web应用程序,支持Java Servlet和JavaServer Pages(JSP)技术...

    tomcat6.0文档

    本文将基于提供的“tomcat6.0文档”,详细阐述Tomcat 6.0的核心概念、配置、管理和优化等方面的知识。 一、核心概念 1. Servlet:Servlet是Java平台上的服务器端组件,用于处理HTTP请求。在Tomcat中,Servlet是Web...

    tomcat6.0与apache2.2的完美组合

    【Apache与Tomcat整合配置详解】 在Web应用服务器领域,Apache HTTP Server和Tomcat是两种常用的组件。Apache作为强大的静态内容服务器,而Tomcat则专精于Java Servlet和JavaServer Pages(JSP)的处理。当需要同时...

    tomcat的开发工具

    Tomcat 6.0支持多种安全机制,包括SSL/TLS加密、用户认证和授权、JAAS集成等。开发者可以设置`conf/server.xml`中的`&lt;Realm&gt;`元素来实现用户身份验证,并通过`&lt;Context&gt;`元素的`security-constraint`来定义访问控制...

    ubuntu中部署tomcat

    - `sudo /usr/shopxx/tomcat6.0/tomcat-native-1.1.27-src/jni/native/configure --prefix=/usr/shopxx/tomcat6.0 --with-apr=/usr/shopxx/tomcat6.0/apr --with-java-home=/usr/shopxx/jdk6.0 --with-ssl=yes` ...

    tomcat60配置方法.txt

    ### Tomcat 6.0 配置方法详解 #### 一、环境变量配置 在进行 Tomcat 6.0 的配置之前,首先需要确保已经正确设置了必要的环境变量。这些环境变量包括 `CATALINA_HOME`、`JAVA_HOME` 和 `Path`。 1. **`CATALINA_...

    Tomcat 6安装版

    **Tomcat 6安装详解** Tomcat是一款广泛应用的开源Java Servlet容器,由Apache软件基金会旗下的Apache Tomcat项目开发。在本教程中,我们将详细介绍如何安装Tomcat 6.0版本,以及配置PATH和CLASSPATH环境变量,以...

Global site tag (gtag.js) - Google Analytics