生成HTTPS证书及使用

最新推荐文章于 2025-04-07 15:52:16 发布
最新推荐文章于 2025-04-07 15:52:16 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 杂项
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/supermancoke/article/details/104675561
版权
本文详细介绍了如何使用JDK的keytool工具生成SSL/TLS证书和密钥,包括生成非对称密钥、导出证书、以及在Tomcat和Nginx服务器上的配置方法。同时,提供了自定义证书验证的Java类实现,确保HTTPS服务的安全访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

生成证书和秘钥

使用JDK7的keytool工具生成

转到JDK的安装目录下的bin,如/usr/java/jdk1.7.0_79/bin

生成非对称密钥

keytool -genkeypair -v -alias aaa -keyalg RSA -keystore /home/app/key/pay.jks -validity 3650 -dname "CN=pay.xxx.com,OU=,O=aaa,L=HEFEI,ST=ANHUI,C=CN" -storepass 222222 -keypass 222222
  • alias 密钥仓库别名,不区分大小写
  • keyalg 设置采用的算法
  • keystore 秘钥文件生成位置
  • validity 设置秘钥有效天数
  • dname 设置证书信息
    • CN 名字与姓氏,网站输入网站域名
    • OU 组织单位名称
    • O 组织名称
    • L 城市或区域
    • ST 州或省份名称
    • C 单位的两字母国家代码
  • storepass 仓库的密码,建议修改
  • keypass key的密码,建议修改

导出证书

keytool -export -alias aaa -keystore /home/app/key/pay.jks -file /home/app/key/pay.cer

Tomcat

生成P12格式私钥

keytool -importkeystore -srckeystore /home/app/key/pay.jks -destkeystore pay.p12 -deststoretype PKCS12

使用OpenSSL生成pem格式秘钥

openssl pkcs12 -in /home/app/key/pay.p12 -out /home/app/key/pay.pem -nodes

Tomcat配置

在server.xml中添加443端口的Connector

要求Tomcat必须开启了APR支持

  • SSLCertificateFile:配置为导出的证书
  • SSLCertificateKeyFile:配置为OpenSSL生成的pem秘钥
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
			   SSLCertificateFile="E:/key/pay.cer"
                 SSLCertificateKeyFile="E:/key/pay.pem"
  ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_ 
CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_C 
BC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RS 
A_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"/>

Nginx

生成P12格式私钥

keytool -importkeystore -srckeystore /home/app/key/pay.jks -destkeystore pay.p12 -deststoretype PKCS12

生成证书

openssl pkcs12 -in pay.p12 -nokeys -clcerts -out server-ssl.crt 

openssl pkcs12 -in pay.p12 -nokeys -cacerts -out gs_intermediate_ca.crt

server-ssl.crt是SSL证书,gs_intermediate_ca.crt是中级证书,俩个合并到一起才是nginx服务器所需要的证书

合并证书

cat server-ssl.crt gs_intermediate_ca.crt >nginx.crt

生成Nginx私钥

openssl pkcs12 -nocerts -nodes -in pay.p12 -out nginx.key

Nginx配置

修改nginx的nginx.conf配置文件

server {
        listen       88;
        server_name  127.0.0.1;

		ssl on;
		ssl_certificate E:/key/nginx.crt;
		ssl_certificate_key E:/key/nginx.key;
  • ssl_certificate:上文生成的证书文件
  • ssl_certificate_key:上文生成的Nginx私钥

开发使用

由于证书未经过权威CA验证,因此需要进行特殊配置,需要自定义只生成证书的验证方法

证书验证类

/**
 * SSL客户端工具,信任设置的证书
 */
public class SSLClientUtil {

    private final static Logger logger = LoggerFactory.getLogger(SSLClientUtil.class);

    /**
     * 设置SSL验证证书和服务器域名(地址)
     * crtFiles crt证书文件,crt证书文件地址,可以通过firefox浏览器导出网站的crt文件
     */
    public void setSSLVerify(File... crtFiles) {
        HostnameVerifier hv = new HostnameVerifier() {
            public boolean verify(String urlHostName, SSLSession session) {
                try {
                    String peerHost = session.getPeerHost(); //服务器返回的主机名
                    X509Certificate[] peerCertificates = (X509Certificate[]) session.getPeerCertificates();
                    for (X509Certificate certificate : peerCertificates) {
                        X500Principal subjectX500Principal = certificate.getSubjectX500Principal();
                        String name = subjectX500Principal.getName();
                        String[] split = name.split(",");
                        for (String str : split) {
                            if (str.startsWith("CN")) {//证书绑定的域名或者ip
                                // CN:www.baidu.com中取得后面的主机名
                                String hostName = str.substring(3);
                                // 秘钥的主机名为请求地址才放行
                                if (hostName.equals(peerHost)) {
                                    return true;
                                }
                            }
                        }
                    }
                } catch (SSLPeerUnverifiedException e1) {
                }
                return false;
            }
        };

        try {
            trustHttpsCertificates(crtFiles);
        } catch (Exception e) {
            logger.error("信任指定HTTPS证书失败,可能造成Hessian Https请求失败", e);
        }
        HttpsURLConnection.setDefaultHostnameVerifier(hv);
    }

    /**
     * 设置SSL验证证书,不验证服务器域名(地址)
     * crtFiles crt证书文件,crt证书文件地址,可以通过firefox浏览器导出网站的crt文件
     */
    public void setSSLVerifyWithoutDomain(File... crtFiles) {
        HostnameVerifier hv = new HostnameVerifier() {
            public boolean verify(String urlHostName, SSLSession session) {
                try {
                    String peerHost = session.getPeerHost(); //服务器返回的主机名
                    X509Certificate[] peerCertificates = (X509Certificate[]) session.getPeerCertificates();
                    for (X509Certificate certificate : peerCertificates) {
                        return true;
                    }
                } catch (SSLPeerUnverifiedException e1) {
                }
                return false;
            }
        };

        try {
            trustHttpsCertificates(crtFiles);
        } catch (Exception e) {
            logger.error("信任指定HTTPS证书失败,可能造成Hessian Https请求失败", e);
        }
        HttpsURLConnection.setDefaultHostnameVerifier(hv);
    }

    /**
     * 设置可信任的crt证书
     *
     * @param crtFiles crt证书文件,crt证书文件地址,可以通过firefox浏览器导出网站的crt文件
     * @throws Exception
     */
    private void trustHttpsCertificates(File... crtFiles) throws Exception {
        javax.net.ssl.TrustManager[] trustCerts = new javax.net.ssl.TrustManager[crtFiles.length];
        for (int i = 0; i < crtFiles.length; i++) {
            javax.net.ssl.TrustManager tm = new TrustEverythingManager(crtFiles[i]);
            trustCerts[i] = tm;
        }

        javax.net.ssl.SSLContext sc = javax.net.ssl.SSLContext
                .getInstance("SSL");
        sc.init(null, trustCerts, null);
        HttpsURLConnection.setDefaultSSLSocketFactory(sc
                .getSocketFactory());
    }

    class TrustEverythingManager implements javax.net.ssl.TrustManager,
            javax.net.ssl.X509TrustManager {

        /**
         * crt证书文件地址,可以通过firefox浏览器导出网站的该文件
         */
        private File crtFile;

        public TrustEverythingManager(File crtFile) {
            this.crtFile = crtFile;
        }

        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
            return null;
        }

        public boolean isServerTrusted(
                java.security.cert.X509Certificate[] certs) {
            return true;
        }

        public boolean isClientTrusted(
                java.security.cert.X509Certificate[] certs) {
            return true;
        }

        public void checkServerTrusted(
                java.security.cert.X509Certificate[] certs, String authType)
                throws java.security.cert.CertificateException {
            if (certs == null) {
                throw new IllegalArgumentException("X509Certificate is null");
            }
            if (certs.length == 0) {
                throw new IllegalArgumentException("X509Certificate is empty");
            }
            for (X509Certificate cert : certs) {
                cert.checkValidity();
                try {
                    cert.verify(getPublicKey());
                } catch (Exception ex) {
                    logger.error("验证证书失败,可能造成Hessian Https请求失败", ex);
                }
            }
            return;
        }

        public void checkClientTrusted(
                java.security.cert.X509Certificate[] certs, String authType)
                throws java.security.cert.CertificateException {
            return;
        }

        public PublicKey getPublicKey() throws FileNotFoundException, CertificateException {
            FileInputStream fileInputStream = null;
            try {
                fileInputStream = new FileInputStream(crtFile);
                CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
                X509Certificate certificate = (X509Certificate) certificateFactory.generateCertificate(fileInputStream);
                return certificate.getPublicKey();
            } finally {
                IOUtils.closeQuietly(fileInputStream);
            }
        }
    }

}

使用HttpsURLConnection访问Https服务时

在访问HTTPS或项目启动时调用SSLClientUtil验证方法

仅验证证书

File file = new File("E:\\key\\pay.cer");
new SSLClientUtil().setSSLVerifyWithoutDomain(file);

验证证书和域名

File file = new File("E:\\key\\pay.cer");
new SSLClientUtil().setSSLVerify(file);

证书文件可通过Firefox浏览器导出证书,或者使用keytool -export导出的证书

查看python,numpy,scipy,matplotlib版本版本更新
热门推荐
cookie_234的博客
04-21 6万+
查看python,numpy,scipy,matplotlib版本版本更新
成功解决:RuntimeError: implement_array_function method already has a docstring
m0_52720522的博客
07-06 5267
在学习的过程中,总会少不了bug的!但是,请相信,我们可以打败它!
python3.10 对应numpymatplotlib、pandas库版本
weixin_46483785的博客
07-03 2万+
注:平台为pycharm。
matplotlibpythonnumpy版本对应
最新发布
weixin_62951055的博客
04-07 536
官方链接:Dependency version policy — Matplotlib 3.11.0.dev640+ge8d58af4bd documentation
pytorch 配置
tiantian123456的专栏
03-15 605
安装Anaconda 之后配置 pytorch。
Python小技巧】matplotlib不显示图像竟是numpy惹的祸
IT里的交易员-博客
05-07 5554
Python3.10 使用matplotlib绘图,显示不出图像。首先排除代码的问题,因为使用Python3.8的虚拟环境显示是OK的,换到Python3.10却不行。为什么,折腾了好久,终于让我找到原因了。这里分享一下,希望可以帮助到大家。几经折腾,看来不是Python 3.10 的问题,问题出在各种库的互相配合上。虽然通过虚拟一个低版本python环境也可以解决matplotlib显示的问题。但作为研究,我们还是要深入一些。
免费的python以及相应版本numpy和matplotlip
01-14
免费的python3.3 以及相应版本numpy和matplotlip .exe 安装超简单
NumPyMatplotlib
好学者的博客
12-23 3810
NumPy 1.1 导入NumPy库 import numpy as np Python中使用import导入库,这里的意思是将numpy作为np导入。通过这样的形式,之后NumPy相关的方法均可通过np调用。 1.2 生成NumPy数组 import numpy as np x = np.array([1.0, 2.0, 3.0]) print(x) print(type(x)) 输出结果: [1. 2. 3.] <class 'numpy.ndarray'> 使用np.array()
matplotlib3.6+python3.8+numpy1.19.0版本对应
qq_43808604的博客
09-02 2504
https://matplotlib.org/stable/devel/min_dep_policy.html
Numpy、Pandas、SciPy、Scikit-Learn、Matplotlib的关系以及学习资料
u014410989的专栏
05-08 1万+
Numpy、Pandas、SciPy、Scikit-Learn、Matplotlib的关系1. Python的学习资料上述各种库的安装方法 Python数据分析-初识numpy、pandas、scipy、matplotlib和Scikit-Learn等数据处理库 1. Python的学习资料 a.廖雪峰python学习笔记 https://blog.csdn.net/datawhale/arti...
Python3.x+matplotlibmatplotlib版本好像是2.2.1及以上版本;反正要求较高版本)库实现三维网格彩色显示源代码
06-27
Python3.x+matplotlibmatplotlib版本好像是2.2.1及以上版本;反正要求较高版本)库实现三维网格彩色显示源代码
numpy1.8.0和matplotlib1.3.1
03-11
numpy1.8.0和matplotlib1.3.1是nltk需要的两个python的科学计算以及画图的工具包
matplotlib(python3.5版本 win64位)
11-22
matplotlibpython用于数据可视化的一个常用包,非常适合数据可视化处理与操作,在数据分析中是必备的工具
求助 Pycharm中,解决 RuntimeError: implement_array_function method already has a docstring
Fire_Devil的博客
12-21 1646
求助 求助 Pycharm中,解决 RuntimeError: implement_array_function method already has a docstring C:\Users\synge\PycharmProjects\untitled\venv\Scripts\python.exe C:/Users/synge/PycharmProjects/untitled/mpl_squa...
《Mastering Python Code Writing: A Comprehensive Guide》:此文为AI自动生成
zheng_ruiguo的专栏
12-17 859
Mastering Python Code Writing: A Comprehensive Guide
如何编写简洁美观的Python代码
TensorFlowNews
07-18 3602
作者|ANIRUDDHA BHANDARI 编译|VK 来源|Analytics Vidhya 概述 Python风格教程将使你能够编写整洁漂亮的Python代码 在这个风格教程中学习不同的Python约定和Python编程的其他细微差别 介绍 你有没有遇到过一段写得很糟糕的Python代码?我知道你们很多人都会点头的。 编写代码是数据科学家或分析师角色的一部分。另一方面,编写漂亮整洁的Python代码完全是另一回事。作为一个精通分析或数据科学领域(甚至软件开发)的程序员,这很可能会改变你的形象。
【Gnuradio模块开发从入门到精通】:gr_modtool构建自定义源与接收器教程(权威版)
!... # 摘要 本文旨在介绍Gnuradio模块开发的全过程,从模块开发的概览到具体实现,再到调试优化及应用进阶。首先,我们概述了Gnuradio的模块开发环境搭建,包括gr_modtool工具的介绍、安装与配置以及开发工作区的创建...
python安装paddlex(虚拟环境快速安装)
Vertira的博客
03-14 1万+
直接上代码: pip install paddlex -i https://pypi.tuna.tsinghua.edu.cn/simple 安装过程中可能numpy没有安装,导致报错,但是不用担心,耐心等待,它自动安装。最后多次报错,多次自动安装,最后安装成功。 请看我的安装过程,速度挺快 (paddlex) C:\Users\YANG>pip install paddlex -i https://pypi.tuna.tsinghua.edu.cn/simple Looking in i
matplotlibnumpy版本对应关系
05-29
不同版本matplotlibnumpy之间可能存在一些兼容性问题,因此在使用时需要注意它们之间的版本对应关系。一般而言,可以按照以下对应关系来选择版本: - matplotlib 2.0.x 对应numpy版本1.7.x到1.13.x; - matplotlib 2.1.x 对应numpy版本1.7.x到1.13.x; - matplotlib 2.2.x 对应numpy版本1.7.x到1.14.x; - matplotlib 3.0.x 对应numpy版本1.11.x到1.15.x; - matplotlib 3.1.x 对应numpy版本1.11.x到1.17.x; - matplotlib 3.2.x 对应numpy版本1.11.x到1.18.x。 需要注意的是,这些版本对应关系并不是绝对的,具体的兼容性还要根据具体的应用场景和使用方式来判断。建议在使用时先查看matplotlibnumpy的官方文档,了解它们的兼容性和版本要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值