前言

前一段时间有了解如何配置Tomcat服务为Https单向认证和双向认证,当时也做了一些记录,今天开始写博客,就把以前的记录拿出来整理下,分享给大家。本文没有介绍证书如何生成,会在下一篇博文里介绍。

1 配置Tomcat服务为https单向认证

1.1 修改配置文件

在Tomcat的根目录下找到/conf/server.xml文件打开,找到如下位置

修改为如下内容:

    <Connector port="8443"

      protocol="org.apache.coyote.http11.Http11Protocol"

      maxThreads="150"

      SSLEnabled="true"

      scheme="https"

      secure="true"

      keystoreFile="C:\Install\keystore"

      keystorePass="server"

      clientAuth="false"

      sslProtocol="SSL"

      ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,

                    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,

                    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,

                    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,

                    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,

                    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

                    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,

                    TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,

                    TLS_ECDHE_RSA_WITH_RC4_128_SHA,

                    TLS_DHE_RSA_WITH_AES_128_CBC_SHA,

                    TLS_DHE_DSS_WITH_AES_128_CBC_SHA,

                    TLS_DHE_RSA_WITH_AES_256_CBC_SHA,

                    TLS_RSA_WITH_AES_128_GCM_SHA256,

                    TLS_RSA_WITH_AES_128_CBC_SHA,

                    TLS_RSA_WITH_AES_256_CBC_SHA,

                    TLS_RSA_WITH_3DES_EDE_CBC_SHA,

                    TLS_RSA_WITH_RC4_128_SHA,

                    TLS_RSA_WITH_RC4_128_MD5"

        sslEnabledProtocols="TLSv1.2" />

这段配置中keystoreFile="C:\Install\keystore" keystorePass="server"

需要根据自己的证书进行调整,其中keystoreFile 可以使用相对路径

1.2 在本地配置信任证书

现在这个网站是可以访问的,但是会提示证书风险,下面两张图片是分别使用360和IE访问时提示证书风险的情况,可以点击查看证书,将证书安装到“受信任的根证书颁发机构”目录下,之后重启浏览器访问,这个证书异常就会消失

现在单项认证就配置完成了,也就是客户端对服务端已经认证成功了,但服务端并没有对客户端进行认证。



2 双向认证的配置

2.1 修改配置文件

修改/conf/server.xml文件,上次修改的地方修改如下

<Connector port="443"

       protocol="org.apache.coyote.http11.Http11Protocol"

       maxThreads="150"

       SSLEnabled="true"

       scheme="https"

       secure="true"

       keystoreFile="C:\Install\keystore"

       keystorePass="server"

       truststoreFile="C:\Install\client.truststore"

       truststorePass="server"

       clientAuth="true"

       sslProtocol="SSL"

       ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,

                    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,

                    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,

                    TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,

                    TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,

                    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

                    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,

                    TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,

                    TLS_ECDHE_RSA_WITH_RC4_128_SHA,

                    TLS_DHE_RSA_WITH_AES_128_CBC_SHA,

                    TLS_DHE_DSS_WITH_AES_128_CBC_SHA,

                    TLS_DHE_RSA_WITH_AES_256_CBC_SHA,

                    TLS_RSA_WITH_AES_128_GCM_SHA256,

                    TLS_RSA_WITH_AES_128_CBC_SHA,

                    TLS_RSA_WITH_AES_256_CBC_SHA,

                    TLS_RSA_WITH_3DES_EDE_CBC_SHA,

                    TLS_RSA_WITH_RC4_128_SHA,

                    TLS_RSA_WITH_RC4_128_MD5"

        sslEnabledProtocols="TLSv1.2" />

添加属性有truststoreFile="C:\Install\client.truststore" truststorePass="server"

client.truststore里面放的是信任客户端的证书

修改属性有 clientAuth="true"

修改完成重启tomcat

2.2 添加本地私钥

现在访问网站发现无法访问了,还不明白怎么回事,但你用Chrome访问时,还有一个提示: XX网站不接受您的登录证书,或者您可能没有提供登录证书。

先打开如下画面IE:internet选项→内容→证书

其他浏览器:选项→管理证书

点击导入,把自己制作的P12证书放入到“个人”目录下。注意:导入时要输入证书密码

这个时候在刷新页面就会看到如下画面,(由浏览器而定)



点击确定以后,就可以访问成功了.(部分浏览器导入密钥后可能需要重启浏览器)

https双向认证也配置完成了。

tip:因为本篇博文主要讲配置,没有讲在服务端的信任证书库添加个人证书的的公钥,所以下面附上我生成证书的bat文件。

3 附上生成证书需要的bat内容

set SERVER_DN="CN=192.168.XXX.XXX, OU=cybersoft.com, O=cybersoft, L=CN, S=CN, C=CN"

set CLIENT_DN="CN=cybersoft.com.tw, OU=cybersoft.com, O=cybersoft, L=CN, S=CN, C=CN"

set PASS_SET="client"

set SPASS_SET="server"

set CER_ROOT_PATH="e:\SSL"

:: 路径不存在则创建路径

if not exist %CER_ROOT_PATH% md %CER_ROOT_PATH%

::制作 keystore

keytool -genkey -alias cyber_server -keyalg RSA -keystore %CER_ROOT_PATH%/keystore -dname %SERVER_DN% -storepass %SPASS_SET% -keypass %SPASS_SET% -validity 36500

keytool -genkey -alias cyber_client -keyalg RSA -storetype PKCS12 -keystore %CER_ROOT_PATH%/client.key.p12 -dname %SERVER_DN% -keypass %PASS_SET% -storepass %PASS_SET% -validity 36500

keytool -export -alias cyber_server -keystore %CER_ROOT_PATH%/keystore -storepass %SPASS_SET% -rfc -file %CER_ROOT_PATH%/server.cer

keytool -export -alias cyber_client -storetype PKCS12 -keystore %CER_ROOT_PATH%/client.key.p12 -storepass %PASS_SET% -rfc -file %CER_ROOT_PATH%/client.cer

keytool -import -file %CER_ROOT_PATH%/server.cer -storepass %PASS_SET% -keystore %CER_ROOT_PATH%/truststore.jks -noprompt

keytool -import -file %CER_ROOT_PATH%/client.cer -storepass %SPASS_SET% -keystore %CER_ROOT_PATH%/client.truststore -noprompt

pause

其中192.168.XXX.XXX,请修改为自己的域名或IP

运行后生成的文件在e:\SSL,目录结构为

其中keystore和client.truststore是在tomcat中配置的,在client.truststore中已经添加了client.key.p12的公钥,所以上面忘了说了。

client.key.p12需要在客户端导入到“个人”目录中

第一次写博文,请大家多多指教..

下期预告:使用keytool生成证书

Tomcat添加HTTPS单向认证和双向认证的更多相关文章

  1. tomcat------https单向认证和双向认证

     一.https分为单向认证和双向认证: 单向认证就是说,只有客户端使用ssl时对服务器端的证书进行认证,也就是说,客户端在请求建立之前,服务器端会向客户端发送一个证书,一般情况下,这种证书都是由自己 ...

  2. SSL单向认证和双向认证原理

    注:本文为个人学习摘录,原文地址:http://edison0663.iteye.com/blog/996526 为了便于更好的认识和理解 SSL 协议,这里着重介绍 SSL 协议的握手协议.SSL ...

  3. SSL单向认证和双向认证说明

    SSL单向认证和双向认证说明 一.SSL双向认证具体过程 浏览器发送一个连接请求给安全服务器. 服务器将自己的证书,以及同证书相关的信息发送给客户浏览器. 客户浏览器检查服务器送过来的证书是否是由自己 ...

  4. SSL的单向认证和双向认证

    原文地址:http://alvinhu.com/blog/2013/06/20/one-way-and-two-way-ssl-authentication/?utm_source=tuicool&a ...

  5. https 单向认证和双向认证配置

    HTTPS 是我们开发中经常用到的通信加密技术,能有效保护我们网络访问中的安全,本文主要讲解单向 和 双向 https 的配置.关于https 的实现原理在这里我就不赘述了,附上阮一峰老师的关于htt ...

  6. tomcat 配置https (单向认证)

    1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源 2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址 如果只是加密,单向就行 如果想要用系统的人没有证书 ...

  7. https单向认证和双向认证区别

    关于证书 1.每个人都可以使用一些证书生成工具为自己的站点生成证书(比如jdk的keytool),大家称它为“自签名证书”,但是自己生成的证书是不被互联网承认的,所以浏览器会报安全提示,要求你手动安装 ...

  8. Https单向认证和双向认证介绍

    一.Http HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准.HTTP协议传输的数据都是未加密的,也就是明文的,因 ...

  9. Https、OpenSSL自建CA证书及签发证书、nginx单向认证、双向认证及使用Java访问

    0.环境 本文的相关源码位于 https://github.com/dreamingodd/CA-generation-demo 必须安装nginx,必须安装openssl,(用apt-get upd ...

随机推荐

  1. MySQL远程连接问题解决方法

    问题:Host 'XXX' is not allowed to connect to this MySQL server. 原因分析: 1.登录到mysql: 在开始目录下管理员身份运行[MySQL ...

  2. hibernate中怎样配置两个联合属性为唯一约束(非联合主键)

    Annotation中配置: @Table元素包括了一个schema和一个catalog属性,如果需要可以指定相应的值. 结合使用@UniqueConstraint注解可以定义表的唯一约束(uniqu ...

  3. Winform .NET 利用NPOI导出大数据量的Excel

    前言:公司让做一个导出数据到Excel的小工具,要求是用户前端输入sql语句,点击导出按钮之后,将数据导出到Excel,界面如图所示:文件下端显示导出的进度 遇到的问题: 1.使用NPOI进行Exce ...

  4. SHELL脚本学习-定时检查Oracle alert日志并发送mail

    对于DBA来说,检查alert日志是日常工作.告警日志日积月累往往很大,而且每次在服务器上查看或者下载到目标主机查看都十分不方便. 为了方便,以下做出两种情况:(其他情况类推) 第一场景:每天早上上班 ...

  5. 字符串、数组、对象常用API

    常用的字符串API  1.常见方法和属性 length 属性,获取字符串的字符数量 charAt(i) 返回给定位置的字符 charCodeAt( ) 返回给定位置的字符的字符编码 <scrip ...

  6. 通过GPLOT过程制作图形

    通过GPLOT过程制作图形 和数据报表一样,图形也是展现数据的重要方法,图形的直观效果是数据报表无法替代的.SAS/GRAPH是SAS进行数据可视化展现的重 要组成部分,具有强大的作图功能.可以展现的 ...

  7. 欧拉函数-gcd-快速幂(牛客寒假算法基础集训营1-D-小a与黄金街道)

    题目描述: 链接:https://ac.nowcoder.com/acm/contest/317/D来源:牛客网小a和小b来到了一条布满了黄金的街道上.它们想要带几块黄金回去,然而这里的城管担心他们拿 ...

  8. 移动端布局:视口viewport的理解

    移动端开发中,有一些基本概念需要理解清楚,才能更好的组织编程逻辑.在刚接触时,移动端视口的缩放和rem单位的缩放搞混淆了,弄得自己很蒙圈.所以仔细总结下自己的理解. 移动端的适配,我理解为两点: 第一 ...

  9. ADO.NET学习笔记(1)

    ADO.Net是.Net框架中为数据库的访问而封装的一个库.通过这个库我们可以简单便捷的访问数据库,并对数据库进行一些增删改查的操作,目前ADO.Net支持四种主流的数据库,分别是SQL.OLE DB ...

  10. Debian 8.x / Ubuntu 16.04.x 搭建 Ghost 教程

    Ghost 是一款使用 Node.js 开发的博客系统,相对于使用 PHP 开发的 WordPress 更轻巧友好,所以本站已经从 WordPress 切换至 Ghost,本文介绍在 Debian 8 ...