分享
 
 
 

tomcat实现SSL配置!

王朝system·作者佚名  2006-12-16
窄屏简体版  字體: |||超大  

Tomcat双向认证的问题这么多,贴一篇我总结的Tomcat双向认证方法

tomcat实现SSL配置

tomcat实现SSL配置

编辑tomcat的配置文件server.xml,去掉下面SSL Connector的注释,修改为如下:

<!-- Define an SSL HTTP/1.1 Connector on port 8443 -->

<Connector className="org.apache.catalina.connector.http.HttpConnector"

port="8443" minProcessors="5" maxProcessors="75"

enableLookups="true"

acceptCount="10" debug="0" scheme="https" secure="true">

<Factory className="org.apache.catalina.net.SSLServerSocketFactory"

clientAuth="false" keystoreFile="tomcat.keystore"

keystorePass="tomcat" protocol="TLS"/>

</Connector>

keystoreFile的路径是TOMCAT的安装路径下的tomcat.keystore(使用keytool生成的证书库文件)

>keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore

keystoreFile保存了服务器端的证书库,用于客户端认证。

常用的配置属性:

clientAuth

如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书,置该值为true。

keystoreFile

如果创建的keystore文件不在Tomcat认为的缺省位置(一个在Tomcat运行的home目录下的叫.keystore的文件),则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。

keystorePass

如果使用了一个与Tomcat预期不同的keystore(和证书)密码,则加入该属性。

keystoreType

如果使用了一个PKCS12 keystore,加入该属性。有效值是JKS和PKCS12。

sslProtocol

socket使用的加密/解密协议。如果使用的是Sun的JVM,则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下,使用SSL。

ciphers

此socket允许使用的被逗号分隔的密码列表。缺省情况下,可以使用任何可用的密码。

algorithm

使用的X509算法。缺省为Sun的实现(SunX509)。对于IBM JVMS应该使用ibmX509。对于其它JVM,参考JVM文档取正确的值。

truststoreFile

用来验证客户证书的TrustStore文件。

truststorePass

访问TrustStore使用的密码。缺省值是keystorePass。

truststoreType

如果使用一个不同于正在使用的KeyStore的TrustStore格式,加入该属性。有效值是JKS和PKCS12。

使用https://localhost:8443 就可以进行ssl连接的检测

----------------------------------------------------------------------------------------

上诉的SSL连接是客户端单向认证服务器,如果双向认证,将server.xml文件的Connector配置

clientAuth="false"

Java服务器端的证书库,服务器认证客户端时使用的根证书库。

证书库位置:JAVA_HOME/jre/lib/security/cacerts keystore密码为:changeit

将客户端个人证书的根证书导入服务器的证书库,就可以认证客户端。

服务器端证书的生成:

>keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore tomcat.keystore

>keytool -certreq -alias tomcat -file Server.csr -keystore tomcat.keystore 生成证书请求文件

使用openssl命令用根证书签名,再导入签名证书

>keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore

注意-trustcacerts选项,使用服务器的证书库认证该证书,首先要将根证书导入cacerts中。

----------------------------------------------------------------------------------------

Tomcat配置SSL,我出现的问题

我用openssl创建了CA证书,Server证书,Client证书。

使用keytool将Server证书导入tomcat.keystore文件中,将Tomcat的配置文件server.xml关于SSL的配置设为keystoreFile=tomcat.keystore.SSL连接时,客户端认证tomcat.keystore中的服务器证书。

将CA证书导入$JAVA_HOME\jre\lib\security\cacerts这个keystore中,用于验证客户端证书。

在IE中安装CA证书和Client证书(pkcs12,包含私钥的个人证书形式)。

建立SSL连接https://localhost:8443,连接失败。

经过反复思量,知道问题所在,SSL连接时,客户端认证服务器时,需要验证服务器的签名,那么tomcat.keystore中就应该有Server的私钥。所以导入Server证书时,应该导入包含私钥的Server证书。

keytool命令不能导入私钥文件,可以通过在keystore中生成自签名证书,导出证书请求,用CA证书签名后,在导回的方法。

导回签名证书的过程

>keytool -import -trustcacerts -alias tomcat -file Server.pem -keystore tomcat.keystore

注意-trustcacerts选项,使用服务器的证书库认证该证书,首先要将根证书导入Java的根证书库中:JAVA_HOME\jre\lib\security\cacerts中。

----------------------------------------------------------------------------------------

分析IE实现实现SSL连接的中的证书双向认证过程

在地址栏中输入https://localhost:8443

客户端向服务器发送hello消息,tomcat服务器侦听8443端口,收到SSL连接的hello消息,服务器发送server certificate,并且发送client certificate request.客户端IE收到server certificate后取出issuer项,和IE受信任的根证书库中证书的subject比对,找到合适的根证书认证server certificate。并且同时向服务器发送client certificate,服务器收到client certificate后,tomcat服务器查找根证书库cacerts中的根证书的suject,找到合适的根证书认证client certificate.在认证的同时完成密钥协商。客户端认证结束后,IE会弹出"安全警报"对话框,用户可以查看服务器证书,以及服务器证书是否受信任,可以选择是否继续SSL连接。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有