tomcat配置SSL

本文介绍了如何在Tomcat服务器上配置SSL,以确保数据通过HTTPS安全传输。首先,创建keystore文件并设置口令,接着配置Tomcat使用该keystore文件,最后在应用的web.xml中设置强制使用HTTPS协议,以保证用户信息的安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

       曾经看过一个视频 ,这是关于网络安全的测试。A老外共享了wifi,并且不用输密码就可以连接上的wifi。由于此wifi无须密码验证,B老外便很快连接上了此wifi,接着登录某个网站,很快地,A老外便知道了B老外的网站账号和密码。A老外展示了他捕捉到的一连串请求信息,其中就有账号和密码。

      很明显这个网站是采取http超文本协议在网络上传送数据的,这样用户的信息是非常不安全的,只要可以拦截到传送包,用户的信息就全部暴露无疑。而https是在http上加入ssl协议,ssl协议对数据进行加密。所以https是具有安全性的ssl加密传输协议。

tomcat是提供https传输协议的,在tomcat配置ssl步骤:

1、创建keystore文件

2、配置tomcat使用keystore文件

3、配置应用使用https协议访问


1、创建keystore文件

其实keystore文件就是密钥仓库,密钥仓库储存了密钥和证书。如果要修改密钥仓库,需要提供口令,这样就可以保护到密钥仓库和证书。当然每个密钥仓库都有一个别名唯一识别它,通过别名可以指向密钥仓库,例如在修改密钥仓库的信息时。

当然,该步的前提是你已经安装了jdk(本人使用了jdk6),执行命令:

keytool -genkey -alias tomcat -keyalg RSA -keystore d:\apache-tomcat-7.0.59\conf\.keystore

输入keystore密码:111111

再次输入新密码:111111

你的姓氏与名称是什么?

[Unkown]:

您的组织单位名称是什么?

[Unkown]:

您所在的城市或区域名称是什么?
[Unkown]:

您所在的州或省份名称是什么?

[Unkown]:

该单位的两字母国家代码是什么?

[Unkown]:

CN=XX, OU=XX, O=XX, L=XX, ST=XX, C=XX 正确吗?

[否]:y

输入<tomcat>的主密码

        (如果和 keystore 密码相同,按回车):

其中

-alias 参数用来设置keystore文件的别名

-keystore 参数用来设置keystore文件的文件名的。

执行完以为命令,在tomcat的conf目录下就生成了keystore文件了,


2、配置tomcat使用keystore文件

本人的tomcat是7.0.59。

进入tomcat的conf/server.xml文件,默认情况下SSL是被注释掉的,

<!-- Define a SSL HTTP/1.1 Connector on port 8443
         This connector uses the BIO implementation that requires the JSSE
         style configuration. When using the APR/native implementation, the
         OpenSSL style configuration is required as described in the APR/native
         documentation -->
    <!--
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />
    -->
修改为:

<Connector SSLEnabled="true" acceptCount="100" clientAuth="false"
    disableUploadTimeout="true" enableLookups="false" maxThreads="25"
    port="8443" keystoreFile="${catalina.home}/conf/.keystore" keystorePass="111111"
    protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https"
    secure="true" sslProtocol="TLS" />
其中

keystoreFile参数指向keystore文件的路径;

keystorePass参数设置密码(生成keystore文件时设置的密码)。

3、配置应用使用https协议访问

在应用的web.xml文件里添加以下内容:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>securedapp</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
其中

transport-guarantee 标签设置为 CONFIDENTIAL ,这样应用的所有请求都支持 SSL方式访问;

transport-guarantee 标签设置为 NONE,则不支持SSL。


访问应用,输入URL:https://ip:8443/app。

第一步:为服务器生成证书 keytool -genkey -v -alias tomcat -keyalg RSA -keystore c:\tmp\tomcat.keystore -storepass password -keypass password 如果Tomcat所在服务器的域名不是“localhost”,应改为对应的域名,如“www.sina.com.cn”,否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost” 第二步:为客户端生成证书 下一步是为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成: keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12 -keystore c:\tmp\my.p12 -storepass password -keypass password 对应的证书库存放在“C:\my.p12”,客户端的CN可以是任意值。稍候,我们将把这个“my.p12”证书库导入到IE和Firefox中。 第三步:让服务器信任客户端证书 由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件,使用如下命令: keytool -export -alias myKey -keystore c:\tmp\my.p12 -storetype PKCS12 -storepass password -rfc -file c:\tmp\my.cer keytool -import -v -file c:\tmp\my.cer -keystore c:\tmp\tomcat.keystore -storepass password 通过以上命令,客户端证书就被我们导出到“C:\my.cer”文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书: 通过list命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书: keytool -list -keystore c:\tmp\tomcat.keystore -storepass password 第四步:配置Tomcat服务器 打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下: <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="C:/tmp/tomcat.keystore" keystorePass="password" truststoreFile="C:/tmp/tomcat.keystore" truststorePass="password" /> 第五步:导入客户端证书 如果设置了clientAuth="true",则需要强制验证客户端证书。双击“C:\my.p12”即可将证书导入至IE 导入证书后,即可启动Tomcat,用IE进行访问。如果需要用FireFox访问,则需将证书导入至FireFox: 第六步:在测试页查看证书 https://localhost:8443
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值