• java web项目配置https访问


     
    转载:
    tomcat6配置: 
    1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源 
    2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址 
    如果只是加密,我感觉单向就行了。 
    如果想要用系统的人没有证书就访问不了系统的话,就采用双向 
    单向配置: 
    第一步:为服务器生成证书 

    使用keytool 为 Tomcat 生成证书,假定目标机器的域名是“ localhost ”, keystore 文件存放在“ C: omcat.keystore ”,口令为“ password ”,使用如下命令生成: 

    keytool -genkey -v -alias tomcat -keyalg RSA   -validity 3650  -keystore c: omcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password 
    这个tomcat.cer是为了解决不信任时要导入的 
    keytool -export -alias tomcat -keystore c: omcat.keystore -file c: omcat.cer -storepass password 
    第四步:配置Tomcat 服务器 

    打开Tomcat 根目录下的 /conf/server.xml ,找到如下配置段,修改如下: 

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 

                   maxThreads="150" scheme="https" secure="true" 

        clientAuth="false" sslProtocol="TLS" 

        keystoreFile="C:/tomcat.keystore" keystorePass="password" > 



    应用程序的web.xml 可以加上这句话: 具体web系统 

    <!-- Authorization setting for SSL --> 

    <auth-method>CLIENT-CERT</auth-method> 

    <realm-name>Client Cert Users-only Area</realm-name> 

    </login-config> 

    <security-constraint> 

    <!-- Authorization setting for SSL --> 

    <web-resource-collection > 

    <web-resource-name >SSL</web-resource-name> 

    <url-pattern>/*</url-pattern> 

    </web-resource-collection> 

    <user-data-constraint> 

    <transport-guarantee>CONFIDENTIAL</transport-guarantee> 

    </user-data-constraint> 

    </security-constraint> 

    到这里启动tomcat,输入 https://localhost:8443/ 
    这时再打开会弹出一个提示框:证书不可信任,有一个警告,说什么需要机构颁发。 
    这时再双击第一步生成的tomcat.cer。一直下一步,最后选“是”。 

    导入后,再输入地址就不是提示了。直接转向tomcat的猫页,说明成功了。 



    双向配置: 
    第一步:为服务器生成证书 

    使用keytool 为 Tomcat 生成证书,假定目标机器的域名是“ localhost ”, keystore 文件存放在“ C: omcat.keystore ”,口令为“ password ”,使用如下命令生成: 

    keytool -genkey -v -alias tomcat -keyalg RSA   -validity 3650  -keystore c: omcat.keystore -dname "CN=localhost,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password 
    这个tomcat.cer是为了解决不信任时要导入的 
    keytool -export -alias tomcat -keystore c: omcat.keystore -file c: omcat.cer -storepass password 
    第二步:为客户端生成证书 

    下一步是为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE 和 Firefox ,证书格式应该是 PKCS12 ,因此,使用如下命令生成: 

    keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12   -validity 3650  -keystore C:my.p12 -dname "CN=MyKey,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass password -keypass password 

    第三步:让服务器信任客户端证书 

    由于是双向SSL 认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将 PKCS12 格式的证书库导入,我们必须先把客户端证书导出为一个单独的 CER 文件,使用如下命令:

    keytool -export -alias myKey -keystore C:my.p12 -storetype PKCS12 -storepass password -rfc -file C:my.cer 



    通过以上命令,客户端证书就被我们导出到“C:my.cer ”文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书: 

    keytool -import -v -file C:my.cer -keystore c: omcat.keystore -storepass password 

    通过list 命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书: 

    keytool -list -keystore c: omcat.keystore -storepass password 

    第四步:配置Tomcat 服务器 

    打开Tomcat 根目录下的 /conf/server.xml ,找到如下配置段,修改如下: 

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 

                   maxThreads="150" scheme="https" secure="true" 

        clientAuth="true" sslProtocol="TLS" 

        keystoreFile="C:/tomcat.keystore" keystorePass="password" 

    truststoreFile="C:/tomcat.keystore" truststorePass="password"/> 



    应用程序的web.xml 可以加上这句话: 具体web系统 

    <!-- Authorization setting for SSL --> 

    <auth-method>CLIENT-CERT</auth-method> 

    <realm-name>Client Cert Users-only Area</realm-name> 

    </login-config> 

    <security-constraint> 

    <!-- Authorization setting for SSL --> 

    <web-resource-collection > 

    <web-resource-name >SSL</web-resource-name> 

    <url-pattern>/*</url-pattern> 

    </web-resource-collection> 

    <user-data-constraint> 

    <transport-guarantee>CONFIDENTIAL</transport-guarantee> 

    </user-data-constraint> 

    </security-constraint> 

    到这里启动tomcat,输入 https://localhost:8443/,是访问不了的:原因客户端证书没有导入浏览器 
    双击 “C:my.p12” 即可将证书导入至 IE :输入创建时候的密码,password 

    这时再打开会弹出一个提示框:证书不可信任,有一个警告,说什么需要机构颁发。 
    这时再双击第一步生成的tomcat.cer。一直下一步,最后选“是”。 

    导入后,再输入地址就不是提示了。直接转向tomcat的猫页,说明成功了。 

    其他: 
    1.ssl默认端口是443,如果web系统不需要带端口访问的,可以修改,去找找资料,我没试过。 
    2.如果要批量生成客户端的话,找找批量生成工具,我搜到过。 
     转载地址:http://blog.csdn.net/keketrtr/article/details/52869173
  • 相关阅读:
    IP子网掩码格式转换
    错误: symbol lookup error: /usr/local/lib/libreadline.so.6: undefined symbol: PC
    postgresql删除属性
    postgresql 修改属性
    嵌套json的查询
    嵌套json
    关于array_agg 函数
    修改jsonb的属性
    Python中exec的使用
    RHSA-2017:2930-重要: 内核 安全和BUG修复更新(需要重启、存在EXP、本地提权、代码执行)
  • 原文地址:https://www.cnblogs.com/zjdxr-up/p/8276825.html
Copyright © 2020-2023  润新知