• keytool生成证书与Tomcat SSL配置


    转自:http://tomhat.iteye.com/blog/2087673

    一、Keytool介绍 

    Keytool是一个Java数据证书的管理工具。Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里,包含两种数据: 

    1.   密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密) 

    2.   可信任的证书实体(trusted certificate entries)——只包含公钥 

    Alias(别名):每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写 

    keystore的存储位置 

    在没有制定生成位置的情况下,keystore会存在与用户的系统默认目录, 如:对于window xp系统,会生成在系统的C:/Documents and Settings/UserName/ 文件名为“.keystore” 

    keystore的生成:keytool -genkey -alias tomcat -keyalg RSA   -keystore d:/mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 36500 

    参数说明: 

    -genkey表示要创建一个新的密钥 
    -dname表示密钥的Distinguished Names, 
    CN=commonName 
    OU=organizationUnit 
    O=organizationName 
    L=localityName 
    S=stateName 
    C=country 
    Distinguished Names表明了密钥的发行者身份 
    -keyalg使用加密的算法,这里是RSA 
    -alias密钥的别名 
    -keypass私有密钥的密码,这里设置为changeit 
    -keystore 密钥保存在D:盘目录下的mykeystore文件中 
    -storepass 存取密码,这里设置为changeit,这个密码提供系统从mykeystore文件中将信息取出 
    -validity该密钥的有效期为 36500表示100年 (默认为90天) 

    cacerts证书文件(The cacerts Certificates File) 

    改证书文件存在于java.home/lib/security目录下,是Java系统的CA证书仓库 

    二、准备工作 

    1.   验证是否已创建过同名的证书 

    Window : keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit 

    Linux : keytool -list -v -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit 

    2.   删除已创建的证书 

    Window : keytool -delete -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit 

    Linux : keytool -delete -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit 

    三、创建证书 

    1.   服务器中生成证书: 

    (注:生成证书时,CN要和服务器的域名相同,如果在本地测试,则使用localhost) 

    Window : keytool -genkey -alias tomcat -keyalg RSA -keystore d:/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit 

    Linux : keytool -genkey -alias tomcat -keyalg RSA -keystore ~/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit 

    2.   导出证书,由客户端安装: 

    window : keytool -export -alias tomcat -keystore d:/my.keystore -file d:/mycerts.cer -storepass changeit 

    Linux : keytool -export -alias tomcat -keystore ~/my.keystore -file ~/mycerts.cer -storepass changeit 

    3.   客户端配置:为客户端的JVM导入密钥(将服务器下发的证书导入到JVM中) 

    window : keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -file d:/mycerts.cer -storepass changeit 

    Linux : keytool -import -trustcacerts -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -file ~/mycerts.cer -storepass changeit 

    四、配置Tomcat SSL 

    修改server.xml中的SSL服务 
    Window : 
    <Connector port="8443" maxHttpHeaderSize="8192" 
         maxThreads="150" minSpareThreads="25" maxSpareThreads="75" 
         enableLookups="false" disableUploadTimeout="true" 
         acceptCount="100" scheme="https" secure="true" 
         clientAuth="false" sslProtocol="TLS" keystoreFile="d:/my.keystore" keystorePass="changeit"/> 

    Linux: 
    <Connector port="8443" maxHttpHeaderSize="8192" 
         maxThreads="150" minSpareThreads="25" maxSpareThreads="75" 
         enableLookups="false" disableUploadTimeout="true" 
         acceptCount="100" scheme="https" secure="true" 
         clientAuth="false" sslProtocol="TLS" keystoreFile="~/my.keystore" keystorePass="changeit"/> 

    五、常见问题 

    1.   未找到可信任的证书 

    主要原因为在客户端未将服务器下发的证书导入到JVM中,可以用 

    keytool -list -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit 

    来查看证书是否真的导入到JVM中。 

    2.   keytool错误:java.io.IOException:keystore was tampered with,or password was incorrect 

    原因是在你的home目录下是否还有.keystore存在。如果存在那么把他删除掉,后再执行 

    或者删除"%JAVA_HOME%/jre/lib/security/cacerts 再执行 

    建议直接删掉cacerts再导入 

    Tomcat配置https及访问http自动跳转至https 
    完成上述操作就可以通过https://www.xxx.com:8443 或者 http://www.xxx.com:[port]访问网站; 
    第二步:配置Tomcat 
      打开$CATALINA_HOME/conf/server.xml,修改如下: 

      <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" /> 
    修改参数=> 
    <Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000"  redirectPort="443" /> 


    <!-- 
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 
                  maxThreads="150" scheme="https" secure="true" 
                  clientAuth="false" sslProtocol="TLS"/> 
    --> 
    去掉注释且修改参数=> 
    <Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" 
                   maxThreads="150" scheme="https" secure="true" 
                   clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat.keystore" keystorePass="changeit"/> 


    <!-- 
       <Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" /> 
    --> 
    修改参数=> 
    <Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" /> 

    第三步:配置tomcat的web.xml在该文件末尾增加:强制https访问 
    及输入http:// 自动跳转https:// 
    配置如下: 
    <login-config> 
         <!-- Authorization setting for SSL --> 
         <auth-method>CLIENT-CERT</auth-method> 
         <realm-name>Client Cert Users-only Area</realm-name> 
    </login-config> 
    <security-constraint> 
         <!-- Authorization setting for SSL --> 
         <web-resource-collection > 
         <web-resource-name >SSL</web-resource-name> 
         <url-pattern>/*</url-pattern> 
         </web-resource-collection> 
         <user-data-constraint> 
         <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
         </user-data-constraint> 
    </security-constraint>

  • 相关阅读:
    VMware workstation中安装Ubuntu18.04server
    python一行命令安装chromedriver
    vim配置&相关问题
    博客园美化
    期望DP——HDU4035Maze
    [学习笔记]虚树
    线段树——51nod1593&CF515E 公园晨跑
    [STL] multiset
    [学习笔记] 线性基
    泛化物品优化树型DP——[HAOI2010]软件安装
  • 原文地址:https://www.cnblogs.com/x_wukong/p/4561482.html
Copyright © 2020-2023  润新知