前言

前一段时间有了解如何配置Tomcat服务为Https单向认证和双向认证,当时也做了一些记录,今天开始写博客,就把以前的记录拿出来整理下,分享给大家。本文没有介绍证书如何生成,会在下一篇博文里介绍。

1 配置Tomcat服务为https单向认证

1.1 修改配置文件

在Tomcat的根目录下找到/conf/server.xml文件打开,找到如下位置

修改为如下内容:

    <Connector port="8443"

      protocol="org.apache.coyote.http11.Http11Protocol"

      maxThreads="150"

      SSLEnabled="true"

      scheme="https"

      secure="true"

      keystoreFile="C:\Install\keystore"

      keystorePass="server"

      clientAuth="false"

      sslProtocol="SSL"

      ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,

                    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,

                    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,

                    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,

                    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,

                    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

                    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,

                    TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,

                    TLS_ECDHE_RSA_WITH_RC4_128_SHA,

                    TLS_DHE_RSA_WITH_AES_128_CBC_SHA,

                    TLS_DHE_DSS_WITH_AES_128_CBC_SHA,

                    TLS_DHE_RSA_WITH_AES_256_CBC_SHA,

                    TLS_RSA_WITH_AES_128_GCM_SHA256,

                    TLS_RSA_WITH_AES_128_CBC_SHA,

                    TLS_RSA_WITH_AES_256_CBC_SHA,

                    TLS_RSA_WITH_3DES_EDE_CBC_SHA,

                    TLS_RSA_WITH_RC4_128_SHA,

                    TLS_RSA_WITH_RC4_128_MD5"

        sslEnabledProtocols="TLSv1.2" />

这段配置中keystoreFile="C:\Install\keystore" keystorePass="server"

需要根据自己的证书进行调整,其中keystoreFile 可以使用相对路径

1.2 在本地配置信任证书

现在这个网站是可以访问的,但是会提示证书风险,下面两张图片是分别使用360和IE访问时提示证书风险的情况,可以点击查看证书,将证书安装到“受信任的根证书颁发机构”目录下,之后重启浏览器访问,这个证书异常就会消失

现在单项认证就配置完成了,也就是客户端对服务端已经认证成功了,但服务端并没有对客户端进行认证。



2 双向认证的配置

2.1 修改配置文件

修改/conf/server.xml文件,上次修改的地方修改如下

<Connector port="443"

       protocol="org.apache.coyote.http11.Http11Protocol"

       maxThreads="150"

       SSLEnabled="true"

       scheme="https"

       secure="true"

       keystoreFile="C:\Install\keystore"

       keystorePass="server"

       truststoreFile="C:\Install\client.truststore"

       truststorePass="server"

       clientAuth="true"

       sslProtocol="SSL"

       ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,

                    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,

                    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,

                    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,

                    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,

                    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

                    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,

                    TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,

                    TLS_ECDHE_RSA_WITH_RC4_128_SHA,

                    TLS_DHE_RSA_WITH_AES_128_CBC_SHA,

                    TLS_DHE_DSS_WITH_AES_128_CBC_SHA,

                    TLS_DHE_RSA_WITH_AES_256_CBC_SHA,

                    TLS_RSA_WITH_AES_128_GCM_SHA256,

                    TLS_RSA_WITH_AES_128_CBC_SHA,

                    TLS_RSA_WITH_AES_256_CBC_SHA,

                    TLS_RSA_WITH_3DES_EDE_CBC_SHA,

                    TLS_RSA_WITH_RC4_128_SHA,

                    TLS_RSA_WITH_RC4_128_MD5"

        sslEnabledProtocols="TLSv1.2" />

添加属性有truststoreFile="C:\Install\client.truststore" truststorePass="server"

client.truststore里面放的是信任客户端的证书

修改属性有 clientAuth="true"

修改完成重启tomcat

2.2 添加本地私钥

现在访问网站发现无法访问了,还不明白怎么回事,但你用Chrome访问时,还有一个提示: XX网站不接受您的登录证书,或者您可能没有提供登录证书。

先打开如下画面IE:internet选项→内容→证书

其他浏览器:选项→管理证书

点击导入,把自己制作的P12证书放入到“个人”目录下。注意:导入时要输入证书密码

这个时候在刷新页面就会看到如下画面,(由浏览器而定)



点击确定以后,就可以访问成功了.(部分浏览器导入密钥后可能需要重启浏览器)

https双向认证也配置完成了。

tip:因为本篇博文主要讲配置,没有讲在服务端的信任证书库添加个人证书的的公钥,所以下面附上我生成证书的bat文件。

3 附上生成证书需要的bat内容

set SERVER_DN="CN=192.168.XXX.XXX, OU=cybersoft.com, O=cybersoft, L=CN, S=CN, C=CN"

set CLIENT_DN="CN=cybersoft.com.tw, OU=cybersoft.com, O=cybersoft, L=CN, S=CN, C=CN"

set PASS_SET="client"

set SPASS_SET="server"

set CER_ROOT_PATH="e:\SSL"

:: 路径不存在则创建路径

if not exist %CER_ROOT_PATH% md %CER_ROOT_PATH%

::制作 keystore

keytool -genkey -alias cyber_server -keyalg RSA -keystore %CER_ROOT_PATH%/keystore -dname %SERVER_DN% -storepass %SPASS_SET% -keypass %SPASS_SET% -validity 36500

keytool -genkey -alias cyber_client -keyalg RSA -storetype PKCS12 -keystore %CER_ROOT_PATH%/client.key.p12 -dname %SERVER_DN% -keypass %PASS_SET% -storepass %PASS_SET% -validity 36500

keytool -export -alias cyber_server -keystore %CER_ROOT_PATH%/keystore -storepass %SPASS_SET% -rfc -file %CER_ROOT_PATH%/server.cer

keytool -export -alias cyber_client -storetype PKCS12 -keystore %CER_ROOT_PATH%/client.key.p12 -storepass %PASS_SET% -rfc -file %CER_ROOT_PATH%/client.cer

keytool -import -file %CER_ROOT_PATH%/server.cer -storepass %PASS_SET% -keystore %CER_ROOT_PATH%/truststore.jks -noprompt

keytool -import -file %CER_ROOT_PATH%/client.cer -storepass %SPASS_SET% -keystore %CER_ROOT_PATH%/client.truststore -noprompt

pause

其中192.168.XXX.XXX,请修改为自己的域名或IP

运行后生成的文件在e:\SSL,目录结构为

其中keystore和client.truststore是在tomcat中配置的,在client.truststore中已经添加了client.key.p12的公钥,所以上面忘了说了。

client.key.p12需要在客户端导入到“个人”目录中

第一次写博文,请大家多多指教..

下期预告:使用keytool生成证书

Tomcat添加HTTPS单向认证和双向认证的更多相关文章

  1. tomcat------https单向认证和双向认证

     一.https分为单向认证和双向认证: 单向认证就是说,只有客户端使用ssl时对服务器端的证书进行认证,也就是说,客户端在请求建立之前,服务器端会向客户端发送一个证书,一般情况下,这种证书都是由自己 ...

  2. SSL单向认证和双向认证原理

    注:本文为个人学习摘录,原文地址:http://edison0663.iteye.com/blog/996526 为了便于更好的认识和理解 SSL 协议,这里着重介绍 SSL 协议的握手协议.SSL ...

  3. SSL单向认证和双向认证说明

    SSL单向认证和双向认证说明 一.SSL双向认证具体过程 浏览器发送一个连接请求给安全服务器. 服务器将自己的证书,以及同证书相关的信息发送给客户浏览器. 客户浏览器检查服务器送过来的证书是否是由自己 ...

  4. SSL的单向认证和双向认证

    原文地址:http://alvinhu.com/blog/2013/06/20/one-way-and-two-way-ssl-authentication/?utm_source=tuicool&a ...

  5. https 单向认证和双向认证配置

    HTTPS 是我们开发中经常用到的通信加密技术,能有效保护我们网络访问中的安全,本文主要讲解单向 和 双向 https 的配置.关于https 的实现原理在这里我就不赘述了,附上阮一峰老师的关于htt ...

  6. tomcat 配置https (单向认证)

    1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源 2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址 如果只是加密,单向就行 如果想要用系统的人没有证书 ...

  7. https单向认证和双向认证区别

    关于证书 1.每个人都可以使用一些证书生成工具为自己的站点生成证书(比如jdk的keytool),大家称它为“自签名证书”,但是自己生成的证书是不被互联网承认的,所以浏览器会报安全提示,要求你手动安装 ...

  8. Https单向认证和双向认证介绍

    一.Http HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准.HTTP协议传输的数据都是未加密的,也就是明文的,因 ...

  9. Https、OpenSSL自建CA证书及签发证书、nginx单向认证、双向认证及使用Java访问

    0.环境 本文的相关源码位于 https://github.com/dreamingodd/CA-generation-demo 必须安装nginx,必须安装openssl,(用apt-get upd ...

随机推荐

  1. GUI学习之九——QLineEdit的学习总结

    我们在前面学习了各种按钮控件,从这一章开始就是各种输入控件的学习. 首先要用的就是QLineEdit——单行编辑器, 一描述 QLineEdit是一个单行文本编辑器,允许用户输入和编辑单行纯文本.自带 ...

  2. 桌面小部件Wight父类AppWidgetProvider的三个方法

    onUpdate()这个方法会在每次更新App Widget的时候调用,数据更新的逻辑都写在这个方法里边.而且要注意的是:在用户添加小部件的时候,会首先调用这个方法,应该在这个方法里进行初始化操作,比 ...

  3. Java程序设计(第二版)复习 第三章

    数组的使用 首先定义,然后用new生成数组,最后通过下标访问 定义 此时只是引用还未分配内存空间,需要使用new去分配内存空间,否则是无法被访问的 定义的两种方法:数据类型 数组名[];数据类型 [] ...

  4. 移动端H5页面禁止长按复制和去掉点击时高亮

    /*设置IOS页面长按不可复制粘贴,但是IOS上出现input.textarea不能输入,因此将使用-webkit-user-select:auto;*/ *{ -webkit-touch-callo ...

  5. 2019.03.26 bzoj4448: [Scoi2015]情报传递(归并排序+树链剖分)

    传送门 题意简述: 给一棵nnn个点的树,树上每个点表示一个情报员,一共有mmm天,每天会派发以下两种任务中的一个任务: 1.搜集情报:指派T号情报员搜集情报 2.传递情报:将一条情报从X号情报员传递 ...

  6. s6-5 TCP 连接的建立

    TCP 连接的建立 采用三次握手建立连接 一方(server)被动地等待一个进来的连接请求 另一方(the client)通过发送连接请求,设置一些参数 服务器方回发确认应答 应答到达请求方,请求方最 ...

  7. Codeforces Educational Codeforces Round 44 (Rated for Div. 2) F. Isomorphic Strings

    Codeforces Educational Codeforces Round 44 (Rated for Div. 2) F. Isomorphic Strings 题目连接: http://cod ...

  8. 哈夫曼(Huffman)树和哈夫曼编码

    一.哈夫曼(Huffman)树和哈夫曼编码 1.哈夫曼树(Huffman)又称最优二叉树,是一类带权路径长度最短的树, 常用于信息检测. 定义: 结点间的路径长度:树中一个结点到另一个结点之间分支数目 ...

  9. window、view相关

    View.Window以及Activity主要是用于显示并与用户交互window view activity surfaceView 三者间的关系: 在Activity中要设置View时,通常用的方法 ...

  10. shell实例利用crontab自动清除日志

    shell实例利用crontab自动清除日志 程序运行会产生很多的日志,对于无用的日志手动删除比价麻烦,写一个自动执行的命令是很有必要的. 删除文件shell命令 find 对应目录 -mtime + ...