SSL访问+域名

最新推荐文章于 2024-05-06 21:08:41 发布
最新推荐文章于 2024-05-06 21:08:41 发布
阅读量487 收藏
点赞数
分类专栏: https
服务器端需要设定javax.net.ssl.keyStore/ javax.net.ssl.keyStorePassword两个系统参数

而客户端需要设定javax.net.ssl.trustStore/javax.net.ssl.trustStorePassword两个系统参数


参考:

http://chrui.iteye.com/blog/1018711

http://blog.sina.com.cn/s/blog_634d74310101c7bg.html

http://utensil.github.io/tech/2011/06/11/how-to-play-with-certificates-and-keys.html

http://blog.youkuaiyun.com/guo_rui22/article/details/3947716

http://blog.youkuaiyun.com/tony1130/article/details/5134318

http://hi.baidu.com/simonjiang/item/f93771b6554bf59418469706

http://luckywnj.iteye.com/blog/1707048

http://zhouzhk.iteye.com/blog/135081

http://blog.youkuaiyun.com/baostar/article/details/4480340


证书是用java keytool生成的,如下:


1.生成服务端证书

假定目标机器的域名是“10.10.20.35”。

如果Tomcat所在服务器的域名不是“10.10.20.35”,应改为对应的域名,如“www.sina.com.cn”,否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”。

keytool -genkey -v -alias server -keyalg RSA -keystore C:/Users/zcy/Desktop/ssl/server.keystore -dname "CN=10.10.20.35,OU=Tongtech,O=Tongtech,L=SiChuan,ST=SiChuan,C=CN" -validity 3650 -storepass 123456 -keypass 123456

2.导出服务端证书
keytool -export -alias server -keystore C:/Users/zcy/Desktop/ssl/server.keystore -storepass 123456 -rfc -file C:/Users/zcy/Desktop/ssl/server.cer

3.生成客户端证书
keytool -genkey -v -alias client -keyalg RSA -keystore C:/Users/zcy/Desktop/ssl/client.keystore -dname "CN=client,OU=Tongtech,O=Tongtech,L=SiChuan,ST=SiChuan,C=CN" -validity 3650 -storepass 123456 -keypass 123456

4.导出客户端证书

由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件。

其中storepass 为client.keystore 生成过程设置的密码。

keytool -export -alias client -keystore C:/Users/zcy/Desktop/ssl/client.keystore -storepass 123456 -rfc -file C:/Users/zcy/Desktop/ssl/client.cer

5.把客户端证书加入服务端证书信任列表

通过以上命令,客户端证书就被我们导出到client.cer文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:

keytool -import -file C:/Users/zcy/Desktop/ssl/client.cer -storepass 123456 -keystore C:/Users/zcy/Desktop/ssl/server.truststore -alias client


通过list命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书:
keytool -list -keystore server.truststore


6.生成客户端信任列表 (客户端信任的服务端)
keytool -import -file C:/Users/zcy/Desktop/ssl/server.cer -storepass 123456 -keystore C:/Users/zcy/Desktop/ssl/client.truststore -alias server




1.浏览器证书(已可正常访问)

浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12。

客户端的CN可以是任意值。

keytool -validity 365 -genkeypair -v -alias browser -keyalg RSA -storetype PKCS12 -keystore C:/Users/zcy/Desktop/ssl/browser.p12 -dname "CN=browser,OU=Tongtech,O=Tongtech,L=SiChuan,ST=SiChuan,c=cn" -storepass 123456 -keypass 123456

2、从客户端证书库中导出客户端证书
keytool -export -v -alias browser -keystore C:/Users/zcy/Desktop/ssl/browser.p12 -storetype PKCS12 -storepass 123456 -rfc -file C:/Users/zcy/Desktop/ssl/browser.cer

3、将客户端证书导入到服务器证书库(使得服务器信任客户端证书)
keytool -import -v -alias browser -file C:/Users/zcy/Desktop/ssl/browser.cer -keystore C:/Users/zcy/Desktop/ssl/server.truststore -storepass 123456

keytool -list -keystore C:/Users/zcy/Desktop/ssl/server.truststore -storepass 123456


###################################################################

证书保存在服务器端,用户通过浏览器访问时,需要将证书下载保存到本地,表示信任服务器。同样浏览器中的证书也需要保存到服务器的证书库中,表明当前浏览器的证书是可信的。 
        环境:tomcat-6.0.18、jdk1.6.0_18 
        1. 为服务器生成证书 
        使用keytool为Tomcat生成证书,假定目标机器的域名是"localhost",keystore 文件存放在"e:\keytool\tomcat.keystore",口令为"aaaaaaa",使用如下命令生成: 

Java代码  收藏代码
  1. keytool -genkeypair -v -alias tomcat -keyalg RSA -keystore e:\keytool\tomcat.keystore -dname "CN=localhost,OU=hansky,O=cr,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa  

生成证书提示代码  收藏代码
  1. 正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):  
  2. CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn  
  3. [正在存储 e:\keytool\tomcat.keystore]  

        如果Tomcat所在服务器的域名不是"localhost",应改为对应的域名,如"www.sina.com.cn",否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入"localhost"。 
         2. 生成客户端证书  
        为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成: 
Java代码  收藏代码
  1. keytool -genkeypair -v -alias lcl -keyalg RSA -storetype PKCS12 -keystore e:\keytool\lcl.p12 -dname "CN=lcl,OU=lc,O=r,L=bj,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa  

生成证书提示代码  收藏代码
  1. 正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):  
  2.     CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn  
  3. [正在存储 e:\keytool\lcl.p12]  

        对应的证书库存放在"e:\keytool\lcl.p12",客户端的CN可以是任意值。稍候,我们将把这个"my.p12"证书库导入到IE和Firefox中。 
         3. 让服务器信任客户端证书  
        由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件,使用如下命令: 
Java代码  收藏代码
  1. keytool -exportcert -alias lcl -keystore e:\keytool\lcl.p12 -storetype PKCS12 -storepass aaaaaaa -rfc -file e:\keytool\lcr.cer  

导出证书代码  收藏代码
  1. 保存在文件中的认证 <e:\keytool\lcr.cer>  

        通过以上命令,客户端证书就被我们导出到"e:\keytool\lcr.cer"文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书: 
Java代码  收藏代码
  1. keytool -importcert -v -file e:\keytool\lcr.cer -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa  

导入证书的提示代码  收藏代码
  1. 所有者:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn  
  2. 签发人:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn  
  3. 序列号:4cd90399  
  4. 有效期: Tue Nov 09 16:17:29 CST 2010 至Mon Feb 07 16:17:29 CST 2011  
  5. 证书指纹:  
  6.          MD5:A4:BB:D1:E6:35:60:22:CC:DC:EF:6E:D9:B0:5C:2C:C7  
  7.          SHA1:12:90:4B:7A:C0:D8:EB:CC:7B:A7:15:8A:05:46:AC:F7:AE:BF:0E:62  
  8.          签名算法名称:SHA1withRSA  
  9.          版本: 3  
  10. 信任这个认证? [否]:  y  
  11. 认证已添加至keystore中  
  12. [正在存储 e:\keytool\tomcat.keystore]  

        通过list 命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书: 
Java代码  收藏代码
  1. keytool -list -v -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa  

         4. 将e:\keytool\tomcat.keystore拷贝到tomcat的根目录下,我拷贝到c:\tomcat(这是我的tomcat安装目录)下  
        5. 配置tomcat 
        打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下: 
Server.xml代码  收藏代码
  1. <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
  2.            maxThreads="150" scheme="https" secure="true"                
  3.            clientAuth="true" sslProtocol="TLS"  
  4.            keystoreFile="tomcat.keystore" keystorePass="aaaaaaa"  
  5.            truststoreFile="tomcat.keystore" truststorePass="aaaaaaa"/>  

        其中,clientAuth 指定是否需要验证客户端证书,如果该设置为"false",则为单向SSL验证,SSL 配置可到此结束。如果clientAuth设置为"true",表示强制双向SSL验证,必须验证客户端证书。如果clientAuth设置为"want",则表示可以验证客户端证书,但如果客户端没有有效证书,也不强制验证。 
         6. 导入客户端证书  
        如果设置了clientAuth="true",则需要强制验证客户端证书。双击"e:\keytool\lcl.p12"即可将证书导入至IE,导入证书后,即可启动Tomcat,用IE 进行访问。如果需要用FireFox 访问,则需将证书导入至FireFox。 
          7. 测试  
测试代码  收藏代码
  1. https://localhost:8443/  
【https】申请SSL(CA)证书 + 域名解析【手把手图文教程】
IT_Most的博客
10-13 4898
【https】申请SSL(CA)证书 + 域名解析,你会了吗?
用Keytool和OpenSSL生成和签发数字证书
欢迎朋友,我是一名十多年开发经验的新手,希望多多指教。
12-11 1004
keystore的作用类似于windows存放证书的方式,不过跨平台了,^_^下面用Keytool生成CSR(Certificate Signing Request),并用OpenSSL生成CA签名的证书。按照命令的提示,回答一系列问题,就生成了数字证书。运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
SSL:用Keytool生成和签发数字证书
zzhongcy的专栏
03-26 6426
参考: http://chrui.iteye.com/blog/1018711 http://blog.sina.com.cn/s/blog_634d74310101c7bg.html http://utensil.github.io/tech/2011/06/11/how-to-play-with-certificates-and-keys.html http://blog.csdn
编写程序强制用户通过SSL访问网站
weixin_34384557的博客
05-12 103
有时候,为了网站数据传输的安全,我们希望用户访问网站某些页面或者整个网站的时候,必须通过HTTPS的方式访问,而不允许HTTP明文方式访问,如何正确的配置网站和编写程序以达到一个理想的效果呢? 有些网站开发人员,采用了只开放了HTTPS-443端口,而关闭HTTP-80端口的方式,这样的话,虽然可以造成用户的确无法用HTTP访问网站了,但如果用户通过HTTP访问网站,譬如直接在地址栏输入网址ww...
SSL 设置域名访问
weixin_33757911的博客
12-18 284
域名https.ssl.com设置https加密访问过程: 命令如下: #opensslgenrsa-des3-outhttps.ssl.com.key1024 #opensslreq-new-keyhttps.ssl.com.key-outhttps.ssl.com.csr #opensslrsa-inhttps.ssl.com.key...
linux+域名+ssl+nginx+https+tomcat来实现域名的https形式访问
royal1235的博客
08-25 638
1.linux:这个大家自行选择,可以选择阿里云、腾讯云、华为云等等,我用的阿里云,十块钱一个月很便宜。 2.域名:进行域名购买、域名备案、域名解析 域名便宜的一年十几块钱,所以买一个玩玩还是可以的,我的名字叫安生,所以我买的域名是ansheng.online, 购买步骤(阿里云为例子): 进入阿里云官网: 然后根据不同的条件进行筛选自己喜欢的便宜的域名玩玩: 购买过之后就是...
java web应用部署+配置域名解析访问+ssl证书配置
qq_41297837的博客
03-14 1029
一、需求说明 本人日常开发java web应用,采用jfinal框架,undertow进行部署 二、用到的工具 1.阿里云轻量应用服务器 2.阿里云申请的域名,需要备案,本人申请的ucool.tech域名已备案 3.阿里云上购买的免费ssl证书 4.服务器上安装好nginx 三、部署流程 1.jfinal+undertow打zip包上传到服务器,然后启动,此时可以通过ip:port访问到部署的应...
2024年申请ssl证书并绑定指定域名实现全站https访问_ssl证书绑定域名,2024年最新这些新技术你们都知道吗
2401_84563220的博客
05-06 641
18 进入/usr/local/apache/conf/extra目录,编辑httpd-ssl.conf,该文件中不能有#,用之前需要删除下面的注释。21 编辑wordpress的wp-config.php文件,加上登录和后台强制使用https的设置。17 进入apache的conf目录,编辑httpd.conf,解开下面三个代码的注释。20 在浏览器验证绑定的域名是否可以进行https的访问,可以看到已经可以正常访问了。14 选择相应服务的证书,这里选择下载apache的证书。12 点击验证并提交审核。
Nginx+SSL+Node.js运行环境配置教程
09-30
现在,你的Web应用应该可以通过Nginx + SSL + Node.js的组合进行访问,Nginx负责静态文件服务和反向代理,Node.js处理动态请求,整个系统既安全又高效。记得根据实际需求调整Nginx配置,例如添加更多服务器块以支持...
KeyTool制作证书
04-03
KeyTool制作证书
命令行keytool使用 证书DN生成数字证书容器 空格
05-01
NULL 博文链接:https://javawxl.iteye.com/blog/2401096
Keytools生成证书(自签)
bafcj的博客
01-09 6453
使用keytool自签证书
keytool命令制作CA根证书,签发二级证书
lucky_love816的博客
01-05 2330
关于TLS的一些基本信息我这里就不多说了,网上一搜一大堆。这里主要说一下,在tls单向认证里,怎么用keytool命令去制作CA证书,签发二级证书。双向认证也就是照着反方向做一遍就好了。 先附一张简单的步骤图,及每一步的命令 keytool -certreq -alias server -keystore d:\server.keystore -storepass 123456 -file d:\server.csr keytool -gencert -alias ca -keystore d:\ca
nginx https配置ssl证书实现访问https服务
GoppViper的博客
02-02 309
提交申请后,在“证书资源包”–>“证书管理” 标签下,会生成一个状态是“已签发”的”DigiCert免费版SSL“证书,点击“下载”登录“阿里云控制台”,输入关键词寻找:SSL证书,找到“安全(云盾)”下的 SSL证书(应用安全)标签,点击进去。在弹出的右侧边框中,根据自己实际的web服务器,选择对应的下载(这里我选择的是Nginx)打开证书申请页面,填写申请内容,包括:域名、姓名、邮箱和手机号。最左侧点击“证书资源包”,来获取免费的SSL证书。
自制的SSL证书能应用于正式网站用域名访问吗?
SSL加密技术
07-15 686
什么是自签名的SSL证书?自签名的SSL证书,顾名思义就是不是受到受信任的机构颁发的SSL证书,自己签发的证书。这种证书随意签发,不受监督也不会受任何浏览器以及操作系统信任。那么,自签名的SSL证书怎么样?安全吗?会有什么风险? 自签名的证书容易被黑客伪造用来攻击或者劫持站点流量,如果使用自签名的SSL证书,就容易被钓鱼网站利用,这是其一。一旦你使用这种随意签发的,不受监督、信任的证书,黑客同样也会进行伪造,用在钓鱼网站从而对所有信任你网站的人造成损失。 为什么自签名的SSL证书会有风险? 因为国内外
用Jdk自带工具keytool生成受信任的证书
热门推荐
Tibib的专栏
09-21 1万+
一、创建证书keystore 创建证书keystore的过程。 操作步骤 使用JDK自带的命令keytool创建“keystore”文件,其中包含了密钥。在命令行窗口中输入以下命令: keytool -genkey -alias tbb -keyalg RSA -keystore d:\tbb.keystore 根据系统提示输入“keystore”的密码,例如:“password”。
配置https域名访问搭建
我许我向您看齐
11-11 1万+
当我我研究微信小程序的时候,发现访问地址一定要https,然后自行去研究了一下这方面的技术 这里使用的是免费的https 搭建测试 HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。 其实配置https最后拿到的就是.pem和.key两个文件,然后到nginx里面新添加一个域名解析,解析到443端口,重启nginx,然后访问即可 首先去这
SSL证书签发后能中途更改域名吗?
SSL加密技术
12-01 914
有的网站在申请SSL证书后不久,又想给网站更改域名了,那之前的SSL证书还可以再用吗?如果不能用,买的SSL证书能够中途更换域名吗?下面将帮您解答这两个方面的疑惑。 网站更改域名后,之前的SSL证书不能再用了。 如果之前您的网站只有一个域名,而您申请的SSL证书一般都只是保护您之前的域名的,域名更改后,之前的SSL证书将不再保护您新的域名了。当然,如果您网站本身不止一个域名而申请的是多域名证书,您可以将更改后的域名加进去,那么之前的SSL证书还是可以再用的。 如果您之前申请的是单域名SSL证书,域名
51ssl怎么验证域名
最新发布
03-08
### 51SSL 域名验证方法 为了通过51SSL完成域名验证并获取SSL证书,需遵循一系列特定流程。此过程中,申请人必须证明自己拥有对所申请绑定域名的所有权[^1]。 #### 方法一:DNS 验证 选择DNS验证作为确认域名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值