本文详细介绍了Tomcat6中单向与双向SSL认证的配置过程,包括为服务器生成证书、导入客户端证书、修改配置文件等步骤,并通过实际操作演示如何实现HTTPS加密连接。
1 tomcat6配置:
1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源
2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址
如果只是加密,我感觉单向就行了。
如果想要用系统的人没有证书就访问不了系统的话,就采用双向
单向配置:
第一步:为服务器生成证书
使用keytool 为 Tomcat 生成证书,假定目标机器的域名是“ localhost ”, keystore 文件存放在“ C:\tomcat.keystore ”,口令为“ password ”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650 -keystore c:\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
这个tomcat.cer是为了解决不信任时要导入的
keytool -export -alias tomcat -keystore c:\tomcat.keystore -file c:\tomcat.cer -storepass password
第四步:配置Tomcat 服务器
打开Tomcat 根目录下的 /conf/server.xml ,找到如下配置段,修改如下:
Java代码 收藏代码
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="C:/tomcat.keystore" keystorePass="password" >
特别需要注意的是:protocol里面的值.如果用http 1.1,那么https的链接就会打不开.这也是我后期订正的
应用程序的web.xml 可以加上这句话: 具体web系统
Java代码 收藏代码
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
到这里启动tomcat,输入 https://localhost:8443/
这时再打开会弹出一个提示框:证书不可信任,有一个警告,说什么需要机构颁发。
这时再双击第一步生成的tomcat.cer。一直下一步,最后选“是”。
导入后,再输入地址就不是提示了。直接转向tomcat的猫页,说明成功了。
2 双向配置
1.生成服务器端证书
Java代码 收藏代码
keytool -genkey -keyalg RSA -dname "cn=founder,ou=founder,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650
cn=localhost根据部署的域名确定
-alias server 证书名称
-keypass password证书密码
-keystore server.jks 证书存放文件名称
-storepass password 文件的密码
-validity 3650 有效时间(单位:天)
2、生成客户端证书
Java代码 收藏代码
keytool -genkey -keyalg RSA -dname "cn=founder,ou=founder,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650
-alias custom证书名称
-storetype PKCS12证书类型
-keypass password 证书密码
-keystore custom.p12证书存放文件名
-storepass password证书文件密码
-validity 3650 有效时间(单位:天)
3.为服务器生成信任证书文件
首先把客户端证书导出为一个cer文件
Java代码 收藏代码
keytool -export -alias custom -file custom.cer -keystore custom.p12 -storepass password -storetype PKCS12 -rfc
-alias 客户端证书别名,和生成时的别名对应
-file custom.cer 导出的cer文件名称
-keystore custom.p12客户端证书文件路径
-storepass password 客户端证书访问密码
然后把生成的cet文件导入到一个信任的文件中
Java代码 收藏代码
keytool -import -v -alias custom -file custom.cer -keystore truststore.jks -storepass password
或者keytool -import -v -alias custom -file custom.cer -keystore server.jks -storepass password
-alias custom导入到信任文件的证书别名,任意值
-file custom.cer客户端的cet文件路径
-keystore truststore.jks信任的文件存放路径,如果不存在则会生成一个新的文件,否则添加到已有的文件中
-storepass password 信任文件的密码
4.修改tomcat配置文件server.xml
Xml代码 收藏代码
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="D:/server.jks" keystorePass="password"
truststoreFile="D:/truststore.jks" truststorePass="password"
5.导入客户端证书custom.p12到浏览器,可双击文件导入
1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源
2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址
如果只是加密,我感觉单向就行了。
如果想要用系统的人没有证书就访问不了系统的话,就采用双向
单向配置:
第一步:为服务器生成证书
使用keytool 为 Tomcat 生成证书,假定目标机器的域名是“ localhost ”, keystore 文件存放在“ C:\tomcat.keystore ”,口令为“ password ”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -validity 3650 -keystore c:\tomcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password
这个tomcat.cer是为了解决不信任时要导入的
keytool -export -alias tomcat -keystore c:\tomcat.keystore -file c:\tomcat.cer -storepass password
第四步:配置Tomcat 服务器
打开Tomcat 根目录下的 /conf/server.xml ,找到如下配置段,修改如下:
Java代码 收藏代码
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="C:/tomcat.keystore" keystorePass="password" >
特别需要注意的是:protocol里面的值.如果用http 1.1,那么https的链接就会打不开.这也是我后期订正的
应用程序的web.xml 可以加上这句话: 具体web系统
Java代码 收藏代码
<login-config>
<!-- Authorization setting for SSL -->
<auth-method>CLIENT-CERT</auth-method>
<realm-name>Client Cert Users-only Area</realm-name>
</login-config>
<security-constraint>
<!-- Authorization setting for SSL -->
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
到这里启动tomcat,输入 https://localhost:8443/
这时再打开会弹出一个提示框:证书不可信任,有一个警告,说什么需要机构颁发。
这时再双击第一步生成的tomcat.cer。一直下一步,最后选“是”。
导入后,再输入地址就不是提示了。直接转向tomcat的猫页,说明成功了。
2 双向配置
1.生成服务器端证书
Java代码 收藏代码
keytool -genkey -keyalg RSA -dname "cn=founder,ou=founder,o=none,l=china,st=beijing,c=cn" -alias server -keypass password -keystore server.jks -storepass password -validity 3650
cn=localhost根据部署的域名确定
-alias server 证书名称
-keypass password证书密码
-keystore server.jks 证书存放文件名称
-storepass password 文件的密码
-validity 3650 有效时间(单位:天)
2、生成客户端证书
Java代码 收藏代码
keytool -genkey -keyalg RSA -dname "cn=founder,ou=founder,o=none,l=china,st=beijing,c=cn" -alias custom -storetype PKCS12 -keypass password -keystore custom.p12 -storepass password -validity 3650
-alias custom证书名称
-storetype PKCS12证书类型
-keypass password 证书密码
-keystore custom.p12证书存放文件名
-storepass password证书文件密码
-validity 3650 有效时间(单位:天)
3.为服务器生成信任证书文件
首先把客户端证书导出为一个cer文件
Java代码 收藏代码
keytool -export -alias custom -file custom.cer -keystore custom.p12 -storepass password -storetype PKCS12 -rfc
-alias 客户端证书别名,和生成时的别名对应
-file custom.cer 导出的cer文件名称
-keystore custom.p12客户端证书文件路径
-storepass password 客户端证书访问密码
然后把生成的cet文件导入到一个信任的文件中
Java代码 收藏代码
keytool -import -v -alias custom -file custom.cer -keystore truststore.jks -storepass password
或者keytool -import -v -alias custom -file custom.cer -keystore server.jks -storepass password
-alias custom导入到信任文件的证书别名,任意值
-file custom.cer客户端的cet文件路径
-keystore truststore.jks信任的文件存放路径,如果不存在则会生成一个新的文件,否则添加到已有的文件中
-storepass password 信任文件的密码
4.修改tomcat配置文件server.xml
Xml代码 收藏代码
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="D:/server.jks" keystorePass="password"
truststoreFile="D:/truststore.jks" truststorePass="password"
/>
需要注意protocol=“”;
5.导入客户端证书custom.p12到浏览器,可双击文件导入
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
