两台Tomcat服务器之间进行SSL双向认证

最新推荐文章于 2025-04-10 21:55:29 发布
最新推荐文章于 2025-04-10 21:55:29 发布
阅读量2.1k 收藏 3
点赞数 3
分类专栏: SSL 文章标签: SSL 服务器之间的双向认证 浏览器与服务器之间的双向认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m15231417197/article/details/82705683
版权

这个东西困扰了我得有两个星期的时间。下面直接上过程吧。

一,制作证书

首先我们准备两个项目(没有问题可访问的)及两台Tomcat服务器(未经修改的)并测试相互访问(http请求即可)
1,生成服务器证书库
keytool -validity 365 -genkey -v -alias server -keyalg RSA -keystore G:\ssl\server.keystore -dname "CN=127.0.0.1,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456
2,生成客户端证书库
keytool -validity 365 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore G:\ssl\client.p12 -dname "CN=client,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456
3,从客户端证书库中导出客户端证书
keytool -export -v -alias client -keystore G:\ssl\client.p12 -storetype PKCS12 -storepass 123456 -rfc -file G:\ssl\client.cer
4,从服务器证书库中导出服务器证书
keytool -export -v -alias server -keystore G:\ssl\server.keystore -storepass 123456 -rfc -file G:\ssl\server.cer
5,生成客户端信任证书库
keytool -import -v -alias server -file G:\ssl\server.cer -keystore G:\ssl\client.truststore -storepass 123456
6,将客户端证书导入到服务器证书库(使得服务器信任客户端证书)
keytool -import -v -alias client -file G:\ssl\client.cer -keystore G:\ssl\server.keystore -storepass 123456
7,查看证书库中的全部证书
keytool -list -keystore G:\ssl\server.keystore

二,配置Tomcat

打开Tomcat服务器的server.xml配置文件,配置如下:
打开第二个服务器的相应配置文件,配置如下
下面是我的服务器目录示例,两台服务器一样的目录(我将G盘制作的证书复制到了此处的key目录下):
在项目的web.xml文件中加入如下配置(客户和服务都加,保险起见):
 <!-- 强制SSL配置,即普通的请求也会重定向为SSL请求 -->  
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>SSL</web-resource-name>
            <url-pattern>/*</url-pattern><!-- 全站使用SSL -->
        </web-resource-collection>
        <user-data-constraint>
            <description>SSL required</description>
            <!-- CONFIDENTIAL: 要保证服务器和客户端之间传输的数据不能够被修改,且不能被第三方查看到 -->
            <!-- INTEGRAL: 要保证服务器和client之间传输的数据不能够被修改 -->
            <!-- NONE: 指示容器必须能够在任一的连接上提供数据。(即用HTTP或HTTPS,由客户端来决定)-->
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>

备注:

keystoreFile:指定服务器密钥库,可以配置成绝对路径,如“D:/key/server.keystore”,本例中是在Tomcat目录中创建了一个名称为key的文件夹,仅供参考。
keystorePass:密钥库生成时的密码
truststoreFile:受信任密钥库,和密钥库相同即可
truststorePass:受信任密钥库密码

三,项目演示

找个项目作为客户端发起请求(代码如下):

package com.icesoft.client;

import java.io.BufferedReader;
import java.io.File;
import java.io.FileInputStream;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.security.KeyStore;

import org.apache.http.HttpEntity;
import org.apache.http.HttpResponse;
import org.apache.http.client.HttpClient;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.conn.scheme.Scheme;
import org.apache.http.conn.ssl.SSLSocketFactory;
import org.apache.http.impl.client.DefaultHttpClient;
import org.apache.http.util.EntityUtils;

public class HttpsClient {
    
    private static final String KEY_STORE_TYPE_JKS = "jks";
    private static final String KEY_STORE_TYPE_P12 = "PKCS12";
    private static final String SCHEME_HTTPS = "https";
    private static final int HTTPS_PORT = 8443;
    private static final String HTTPS_URL = "https://127.0.0.1:8443/afinBusiness/admin/user/login";
    
    private static final String KEY_STORE_CLIENT_PATH = "C:/Users/ASUS/Desktop/服务器/keytoolWorkSpace/apache-tomcat-8.0.15_01/key/client.p12";
    private static final String KEY_STORE_TRUST_PATH = "C:/Users/ASUS/Desktop/服务器/keytoolWorkSpace/apache-tomcat-8.0.15_01/key/client.truststore";
    private static final String KEY_STORE_PASSWORD = "123456";
    private static final String KEY_STORE_TRUST_PASSWORD = "123456";
    
    public static void main(String[] args) {
        try {
            ssl();
        } catch (Exception e) {
            System.out.println("异常一");
            e.printStackTrace();
        }
    }
    private static void ssl() throws Exception {
        HttpClient httpClient = new DefaultHttpClient();
        try {
            KeyStore keyStore  = KeyStore.getInstance(KEY_STORE_TYPE_P12);
            KeyStore trustStore  = KeyStore.getInstance(KEY_STORE_TYPE_JKS);
            InputStream ksIn = new FileInputStream(KEY_STORE_CLIENT_PATH);
            InputStream tsIn = new FileInputStream(new File(KEY_STORE_TRUST_PATH));
            try {
                keyStore.load(ksIn, KEY_STORE_PASSWORD.toCharArray());
                trustStore.load(tsIn, KEY_STORE_TRUST_PASSWORD.toCharArray());
            } finally {
                try { ksIn.close(); } catch (Exception ignore) {}
                try { tsIn.close(); } catch (Exception ignore) {}
            }
            SSLSocketFactory socketFactory = new SSLSocketFactory(keyStore, KEY_STORE_PASSWORD, trustStore);
            Scheme sch = new Scheme(SCHEME_HTTPS, HTTPS_PORT, socketFactory);
            httpClient.getConnectionManager().getSchemeRegistry().register(sch);
            HttpGet httpget = new HttpGet(HTTPS_URL);
            System.out.println("executing request" + httpget.getRequestLine());
            HttpResponse response = httpClient.execute(httpget);
            HttpEntity entity = response.getEntity();
            System.out.println("----------------------------------------");
            System.out.println(response.getStatusLine());
            if (entity != null) {
                System.out.println("Response content length: " + entity.getContentLength());
                BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(entity.getContent()));
                String text;
                while ((text = bufferedReader.readLine()) != null) {
                    System.out.println(text);
                }
                bufferedReader.close();
            }
            EntityUtils.consume(entity);
        } finally {
            httpClient.getConnectionManager().shutdown();
        }
    }

}
 

找个项目放在Tomcat_01服务器上当服务端:代码如下

import java.io.IOException;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import com.alibaba.fastjson.JSON;
import com.qtong.afinance.core.domain.ResultObject;
import com.qtong.afinance.core.util.HttpTool;
import com.qtong.afinance.module.service.admin.AdminLoginService;

@Controller
@RequestMapping("/admin/user")
public class AdminLoginController {
    @Autowired
    private AdminLoginService loginService;
    
    
    private static final long serialVersionUID=1601507150278487538L;
    
    private static final String ATTR_CER="javax.servlet.request.X509Certificate";
    
    private static final String CONTENT_TYPE="text/plain;charset=UTF-8";
    
    private static final String DEFAULT_ENCODING="UTF-8";
    
    private static final String SCHEME_HTTPS="https";
    
    @RequestMapping("/login")
    @ResponseBody
    public ResultObject login(HttpServletRequest req,HttpServletResponse resp) throws IOException{
        System.out.println("已经访问到了,老子成功了");
        System.out.println("无加工输出的请求为:"+req);
        
        
        String reqMess=HttpTool.javaProtogenesisGetRequest(req);
        System.out.println("加工后输出的请求为:"+reqMess);
        Map map=JSON.parseObject(reqMess,Map.class);
        String mobile=(String) map.get("mobile");
        String password=(String) map.get("password");
        
        System.out.println("在这里获取到的参数为>>>账号:"+mobile+"密码为:"+password);
        return null;
    }
    
}

客户端访问结果如下:

客户端的访问结果不重要,重要的是服务端的访问结果如何,如下:

看红框圈起来的部分,输出了内容,并且在这几句输出内容时没有报bug,那么则就说明此次的https请求是成功的

下面的bug是参数问题,我没有在客户端传递参数,但是服务端需要获取参数,所以出了bug。

到这里大家是不是已经发现其实 只用了一台Tomcat服务器,和本文的主题不想符合,但是如果将客户端和服务端换下位置,1号服务器当客户端,2号服务器当服务端,那么则就与本文符合了那么一些(语文水平就这么高,凑合着看吧)。到这里服务之间的双向认证已经完成。不过在送给大家一端代码,可以直接放在服务端的方法里直接运行,如下:(查看证书的一段代码)

 

import java.io.IOException;
import java.io.PrintWriter;
import java.security.cert.CertificateExpiredException;
import java.security.cert.CertificateNotYetValidException;
import java.security.cert.X509Certificate;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

import com.alibaba.fastjson.JSON;
import com.qtong.afinance.core.domain.ResultObject;
import com.qtong.afinance.core.util.HttpTool;

@Controller
@RequestMapping("/admin/user")
public class AdminLoginController {
    
    private static final long serialVersionUID=1601507150278487538L;
    
    private static final String ATTR_CER="javax.servlet.request.X509Certificate";
    
    private static final String CONTENT_TYPE="text/plain;charset=UTF-8";
    
    private static final String DEFAULT_ENCODING="UTF-8";
    
    private static final String SCHEME_HTTPS="https";
    
    @RequestMapping("/login")
    @ResponseBody
    public ResultObject login(HttpServletRequest req,HttpServletResponse resp) throws IOException{
    
        resp.setContentType(CONTENT_TYPE);
        resp.setCharacterEncoding(DEFAULT_ENCODING);
        PrintWriter out = resp.getWriter();
        X509Certificate[] certs=(X509Certificate[])req.getAttribute(ATTR_CER);
        if(certs!=null){
            int count=certs.length;
            out.println("共检测到["+count+"]个客户端证书。。。");
            System.out.println("************分割线************");
            System.out.println("共检测到["+count+"]个客户端证书。。。");
            for(int i=0; i< count; i++){
                out.println("客户端证书["+(++i)+"]:");
                out.println("校验结果:"+verifyCertificate(certs[--i]));
                out.println("证书详细:\r"+certs[i].toString());
                System.out.println("************分割线************");
                System.out.println("客户端证书["+(++i)+"]:");
                System.out.println("校验结果:"+verifyCertificate(certs[--i]));
                System.out.println("证书详细:\r"+certs[i].toString());
            }
        }else{
            if(SCHEME_HTTPS.equalsIgnoreCase(req.getScheme())){
                out.println("这是一个HTTPS请求,但是没有可用的客户端证书。。。");
                System.out.println("************分割线************");
                System.out.println("这是一个HTTPS请求,但是没有可用的客户端证书。。。");
            }else{
                out.println("这不是一个HTTPS请求,因此无法获得客户端证书列表。。。");
                System.out.println("************分割线************");
                System.out.println("这不是一个HTTPS请求,因此无法获得客户端证书列表。。。");
            }
        }
        out.close();
        
        
        
        
        System.out.println("已经访问到了,老子成功了");
        System.out.println("无加工输出的请求为:"+req);
        
        
        String reqMess=HttpTool.javaProtogenesisGetRequest(req);
        System.out.println("加工后输出的请求为:"+reqMess);
        Map map=JSON.parseObject(reqMess,Map.class);
        String mobile=(String) map.get("mobile");
        String password=(String) map.get("password");
        System.out.println("在这里获取到的参数为>>>账号:"+mobile+"密码为:"+password);
        return null;
    }
    
    //校验证书是否过期
        private boolean verifyCertificate(X509Certificate certificate){
            boolean valid=true;
            try {
                certificate.checkValidity();
            } catch (CertificateExpiredException e) {
                e.printStackTrace();
            } catch (CertificateNotYetValidException e) {
                e.printStackTrace();
            }
            return valid;
        }
    
}
 

下面是我参考资料帖子:这位博主很强

http://www.blogjava.net/icewee/archive/2012/06/04/379947.html       这个实现了浏览器与服务端的双向认证

http://www.blogjava.net/icewee/archive/2012/06/05/379983.html        HTTPS请求代码的提供帖

这些是我在饱受折磨后得出来的结果在此分享给大家,貌似也没有什么,可是每一个成果从无到有的路途都不是一帆风顺的,祝大家项目上线必火,永无bug。

如有不全之处,还望大家多多海涵,不喜勿喷。

tomcat配置双向ssl
fen_dou_shao_nian的博客
01-28 413
背景 项目开发完成后一般会进行高危漏洞检测,检测时出现 步骤 整体步骤 第一步:为服务器生成证书 keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\apache-tomcat-8.5.35\keystores\tomcat.keystore -validity 36500 第二步:为客户端生成证书 keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D
关于https的双向认证详解tomcat+java实现交叉验证
Ender__的专栏
06-18 3217
关于https的双向认证详解 原doc文档导出pdf https://github.com/enderwsp/share4u/raw/master/%E5%85%B3%E4%BA%8Ehttps%E7%9A%84%E5%8F%8C%E5%90%91%E8%AE%A4%E8%AF%81%E8%AF%A6%E8%A7%A3tomcat%2Bjava%E5%AE%9E%E7%8E%B0%E4%BA%...
双向认证详解及Java实现
最新发布
yk_dflkg的博客
04-10 1021
双向认证(Mutual Authentication)是一种网络通信安全机制,它要求通信的双方(通常是客户端和服务器)都需要向对方证明自己的身份。传统的单向认证(只有服务器向客户端证明身份)不同,双向认证确保了通信双方的身份都得到验证,大大提高了系统的安全性。双向认证通常基于数字证书和公钥基础设施(PKI)实现,主要用于需要高安全性的场景,如金融交易、企业VPN、API访问控制等。双向认证是一种强大的安全机制,通过要求通信双方互相验证身份,显著提高了系统的安全性。
tomcat 多https证书配置
bubbleTg的博客
04-12 1059
tomcat 多https证书配置 最近在做小程序,要求request合法域名是https的,其实可以在开发工具中取消验证: 但是由于没有捣鼓过https,于是就捣鼓了一下。 我们先在腾讯云:https://console.cloud.tencent.com/ssl证书管理里填写相应信息申请就行。 比如我要申请这两个: 填写两个信息申请就可以了。等验证通过后下载文件: 如...
tomcat 配置多域名访问访问同一个网站的相同或者不同项目的全站SSL证书
chijue3990的博客
09-05 494
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接: https://blog.youkuaiyun.com/qq_24879495/article/details/78357249 ...
TOMCAT配置免费SSL证书(https),共用443端口配置多域名多SSL证书
Jeans的博客
05-25 7606
网上的各种教程都是在要么配多tomcat,要么tomcat里配多IP,这样就可以有多个443端口,导致我一度认为实在是没有办法配单tomcatSSL证书了.但是我之前知道nginx可以配置SSL证书,我就去查了一下,原来原理是打开SNI设置,那么tomcat支不支持呢?经过查证,8.5以上的版本也支持SNI,这就很开心了(8.5以下是实在没有办法了,要不然你们升级tomcat版本跟我这个教程走...
图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证
热门推荐
Defonds 的专栏
03-18 1万+
1. 安装 nginx1.1 nginx 包及其依赖包下载出于模块的依赖性,Nginx 依赖以下三个包:gzip 模块需要 zlib 库(http://www.zlib.net/);rewrite 模块需要 pcre 库(http://www.pcre.org/);ssl 功能需要 openssl 库(http://www.openssl.org/);分别下载它们的最新稳定版(截至本文最新稳定版分
Tomcat SSL双向认证完全手册】:确保客户端服务器的安全交互
本论文深入探讨了SSL双向认证Tomcat服务器中的配置和实践应用,阐述了SSL双向认证的基本原理和其在确保网络安全通信中的重要性。文章详细介绍了Tomcat服务器端和客户端的SSL双向认证配置步骤,密钥和证书的管理,...
nginx 配置ssl双向证书验证
ronon77的专栏
11-18 2016
1. 安装 nginx 1.1 nginx 包及其依赖包下载 出于模块的依赖性,Nginx 依赖以下三个包: gzip 模块需要 zlib 库(http://www.zlib.net/); rewrite 模块需要 pcre 库(http://www.pcre.org/); ssl 功能需要 openssl 库(http://www.openssl.org/); 分别下载它们的...
实验:证书管理及SSL配置——使用keytool+tomcat配置双向证书
liujing_555的博客
06-23 1117
实验要求: 1. windows或者linux平台下,配置证书服务器,完成服务器证书和客户证书申请和生成。 2. 导入证书完成ssl配置,并通过访问配置好的以自己名字命名的站点来验证实验。
Tomcat双向SSL认证及CA数字证书安装和配置&QQ即时通信协议窥探
2401_84002771的博客
04-12 727
只要是程序员,不管是Java还是Android,如果不去阅读源码,只看API文档,那就只是停留于皮毛,这对我们知识体系的建立和完备以及实战技术的提升都是不利的。真正最能锻炼能力的便是直接去阅读源码,不仅限于阅读各大系统源码,还包括各种优秀的开源库。腾讯、字节跳动、阿里、百度等BAT大厂 2019-2021面试真题解析资料太多,全部展示会影响篇幅,暂时就先列举这些部分截图一个人可以走的很快,但一群人才能走的更远。
tomcat配置SSL双向认证
yuanxuegui2008的专栏
10-04 1210
1、为服务器生成自签名证书 使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件存放在当前目录的tomcat-ssl.keystore文件里,口令为“tomcat”,使用如下命令生成自签名证书并存储于tomcat-ssl.keystore密钥库文件: keytool -genkey -v -alias tomcat -keyalg RSA
linux 部署多个tomcat配置https支持
XZQ1969的博客
01-04 1109
系统版本:centos7.8 | tomcat版本:9.0.52 部署多个tomcat如何配置 tomcat配置https请求 多个tomcat配置开机自启动请参考我这篇文章 1. 部署多个tomcat如何配置 应用场景:两个javaweb项目打成war包分别部署在两个tomcat里面,在同一服务器启动项目访问。 tomcat1配置如下 <?xml version="1.0" encoding="UTF-8"?> <Server port="8
两台服务器身份验证,OAuth 2 从入门到精通(一) - 身份认证服务器
weixin_29593445的博客
07-31 568
前言创建认证服务新建WebAPI项目Framework 4.6,新建ASP.NET应用程序,选择“Empty”,“Web API”,“No Authentication”。引入Nuget包管理使用Nuget包管理器安装用于Owin服务器的类库,打开Nuget Package Manger控制台,使用如下命令安装:Install-Package Microsoft.AspNet.WebApi.Owi...
实现两个独立服务器之间的通信
weixin_30341735的博客
01-13 912
在实施项目的过程中,一个项目一般是不会只是架构在一个服务器上,针对项目的各个部分分布在各自独立的服务器中。 例如手机网游的服务器架构: 其中架构这些服务器是一个复杂且技术含量相当高的工作,其中各个服务器之间的通信是一个很重要的部分,登录服务器游戏服务器,log服务器之间采用socket通信。 而GM服务器游戏服务器之间的通信科采用Http通信。本文主要介绍GM服务器游戏服...
OpenFeign 微服务之间调用 https ssl证书配置
qq_35414397的博客
08-31 7925
1.application.yml文件中加入证书信息: server: port: 9002 ssl: protocol: TLS key-store: classpath:xxx.com.jks key-store-password: xxxxx key-store-type: JKS 2.证书文件xxx.com.jks放在项目根目录下,此处是springboot项目,直接放在resources目录下即可 3.pom.xml引入独立的feign依赖
服务器怎么跨系统通信,两个服务器之间怎么通信
weixin_32889145的博客
08-09 1154
两个服务器之间怎么通信 内容精选换一换华为云帮助中心,为用户提供产品简介、价格说明、购买指南、用户指南、API参考、最佳实践、常见问题、视频帮助等技术文档,帮助您快速上手使用华为云服务。私网NAT网关(Private NAT Gateway),能够为虚拟私有云内的云主机(弹性云服务器、裸金属服务器)提供私网地址转换服务。您可以在私网NAT网关上配置SNAT、DNAT规则,可将源、目的网段地址转换...
Tomcat容器管理安全的几种验证方式
weixin_34337381的博客
05-21 311
为什么80%的码农都做不了架构师?>>> ...
一个服务器部署一个以及两个以上tomcat时且为htts时教程
cainiaozaixiana的博客
10-24 327
一个服务器部署一个以及两个以上tomcat时且为htts时教程 一、第一个tomcat安装配置 本人是Tomcat8.5 1.到Tomcat官网http://tomcat.apache.org/,根据需求下载所需要的版本 下载的是Tomcat8.5 我下载的是安装版本,不用解压 2、安装 以上的端口号及服务名称都不能跟接下来要安装的其他Tomcat相同, 到此已经安装完成 二、配置tomcat,修改配置文件 1、’如果你使用的是安装版的话,这个步骤基本就可以省略了,因为在之前安装的时候都配置
把生成的https证书放到java项目里
01-18
- 当需要启用双向 TLS 认证时,除了上述提到的 keystore 参数外,还需额外指定 truststorePath 及其对应的访问权限。 ```properties javax.net.ssl.trustStore=/path/to/truststore.jks javax.net.ssl....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值