Tomcat配置SSL的双向认证
证书保存在服务器端,用户通过浏览器访问时,需要将证书下载保存到本地,表示信任服务器。
同样浏览器中的证书也需要保存到服务器的证书库中,表明当前浏览器的证书是可信的。
环境:tomcat-6.0.18、jdk1.6.0_18
1. 为服务器生成证书
使用keytool 为Tomcat 生成证书,假定目标机器的域名是"localhost",keystore 文件存放在"e:\keytool\tomcat.keystore",口令为"aaaaaaa",使用如下命令生成:
C:\java\jdk1.6.0_18\bin>keytool -genkeypair -v -alias tomcat -keyalg RSA -keystore e:\keytool\tomcat.keystore -dname "CN
=localhost,OU=hansky,O=cr,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa
正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):
CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn
[正在存储 e:\keytool\tomcat.keystore]
如果Tomcat 所在服务器的域名不是"localhost",应改为对应的域名,如"www.sina.com.cn",否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入"localhost"。
2. 生成客户端证书
为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成:
C:\java\jdk1.6.0_18\bin>keytool -genkeypair -v -alias lcl -keyalg RSA -storetype PKCS12 -keystore e:\keytool\lcl.p12 -dname "CN=lcl,OU=lc,O=r,L=bj,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa
正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):
CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
[正在存储 e:\keytool\lcl.p12]
对应的证书库存放在"e:\keytool\lcl.p12",客户端的CN可以是任意值。稍候,我们将把这个"my.p12"证书库导
入到IE 和Firefox 中。
3. 让服务器信任客户端证书
由于是双向SSL 认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。
由于不能直接将PKCS12 格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER 文件,使用如下
命令:
C:\java\jdk1.6.0_18\bin>keytool -exportcert -alias lcl -keystore e:\keytool\lcl.p12 -storetype PKCS12 -storepass aaaaaaa -rfc -file e:\keytool\lcr.cer
保存在文件中的认证 <e:\keytool\lcr.cer>
通过以上命令,客户端证书就被我们导出到"e:\keytool\lcr.cer"文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:
C:\java\jdk1.6.0_18\bin>keytool -importcert -v -file e:\keytool\lcr.cer -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa
所有者:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
签发人:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
序列号:4cd90399
有效期: Tue Nov 09 16:17:29 CST 2010 至Mon Feb 07 16:17:29 CST 2011
证书指纹:
MD5:A4:BB:D1:E6:35:60:22:CC:DC:EF:6E:D9:B0:5C:2C:C7
SHA1:12:90:4B:7A:C0:D8:EB:CC:7B:A7:15:8A:05:46:AC:F7:AE:BF:0E:62
签名算法名称:SHA1withRSA
版本: 3
信任这个认证? [否]: y
认证已添加至keystore中
[正在存储 e:\keytool\tomcat.keystore]
通过list 命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证
书:
C:\java\jdk1.6.0_18\bin>keytool -list -v -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa
Keystore 类型: JKS
Keystore 提供者: SUN
您的 keystore 包含 2 输入
别名名称: tomcat
创建日期: 2010-11-9
项类型: PrivateKeyEntry
认证链长度: 1
认证 [1]:
所有者:CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn
签发人:CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn
序列号:4cd9036e
有效期: Tue Nov 09 16:16:46 CST 2010 至Mon Feb 07 16:16:46 CST 2011
证书指纹:
MD5:F8:8D:CC:72:34:D2:A3:17:8B:7E:AC:6F:ED:E2:21:24
SHA1:B2:70:EC:86:27:79:88:05:E4:72:45:F3:93:38:2C:F6:A0:50:37:0C
签名算法名称:SHA1withRSA
版本: 3
*******************************************
*******************************************
别名名称: mykey
创建日期: 2010-11-9
输入类型: trustedCertEntry
所有者:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
签发人:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn
序列号:4cd90399
有效期: Tue Nov 09 16:17:29 CST 2010 至Mon Feb 07 16:17:29 CST 2011
证书指纹:
MD5:A4:BB:D1:E6:35:60:22:CC:DC:EF:6E:D9:B0:5C:2C:C7
SHA1:12:90:4B:7A:C0:D8:EB:CC:7B:A7:15:8A:05:46:AC:F7:AE:BF:0E:62
签名算法名称:SHA1withRSA
版本: 3
*******************************************
*******************************************
4. 将e:\keytool\tomcat.keystore拷贝到tomcat的根目录下,我拷贝到c:\tomcat(这是我的tomcat安装目录)下
5. 配置tomcat
打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="tomcat.keystore" keystorePass="aaaaaaa"
truststoreFile="tomcat.keystore" truststorePass="aaaaaaa"/>
其中,clientAuth 指定是否需要验证客户端证书,如果该设置为"false",则为单向SSL 验证,SSL 配置可到此结束。如果clientAuth设置为"true",表示强制双向SSL验证,必须验证客户端证书。如果clientAuth设置为"want",则表示可以验证客户端证书,但如果客户端没有有效证书,也不强制验证。
6. 导入客户端证书
如果设置了clientAuth="true",则需要强制验证客户端证书。双击"e:\keytool\lcl.p12"即可将证书导入至IE,导入证书后,即可启动Tomcat,用IE 进行访问。如果需要用FireFox 访问,则需将证书导入至FireFox。
7. 测试
https://localhost:8443/
总结/************************************************************************************************/
/************************************************************************************************/
/************************************************************************************************/
/************************************************************************************************/
/************************************************************************************************/
命令:
1.生成服务器证书:
keytool -genkeypair -v -alias tomcat -keyalg RSA -keystore e:\keytool\tomcat.keystore -storepass tomcat -keypass tomcat (-keysize 1024 -validity 365) //-validity为证书有效期
2.生成客户端证书:
keytool -genkeypair -v -alias lcl -keyalg RSA -storetype PKCS12 -keystore e:\keytool\lcl.p12 -storepass tomcat -keypass tomcat (-validity 365)
3.使服务器信任客户端证书:
(A)先把客户端证书导出为一个单独的CER文件
keytool -exportcert -alias lcl -keystore e:\keytool\lcl.p12 -storetype PKCS12 -storepass tomcat -rfc -file e:\keytool\lcr.cer
(B)将该文件导入到服务器证书库:
keytool -importcert -v -file e:\keytool\lcr.cer -keystore e:\keytool\tomcat.keystore -storepass tomcat
4.查看检查服务端证书库:
keytool -list -v -keystore e:\keytool\tomcat.keystore -storepass tomcat
5.把tomcat.keystore放在tomcat根目录下
6.配置tomcat:
打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="tomcat.keystore" keystorePass="tomcat"
truststoreFile="tomcat.keystore" truststorePass="tomcat"/>
其中,clientAuth 指定是否需要验证客户端证书,如果该设置为"false",则为单向SSL 验证,SSL 配置可到此结束。如果clientAuth设置为"true",表示强制双向SSL验证,必须验证客户端证书。如果clientAuth设置为"want",则表示可以验证客户端证书,但如果客户端没有有效证书,也不强制验证。
7.导入客户端证书:
双击客户端证书文件-lcl.p12
8.测试
https://localhost:8443/
9.使tomcat全局都变为https:
添加Tomcat根目录下的/conf/web.xml:
<security-constraint>
<web-resource-collection>
<web-resource-name>SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
分享到:
相关推荐
Tomcat配置SSL双向认证简单实例
tomcat下配置ssl双向认证介绍,有具体的步骤截图。
本文档基于JDK+apache-tomcat运行环境进行客户端和服务器端https配置,即SSL双向认证配置
本资源是一个 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证配置示例。详细如何配置请参考博客《图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》,地址是:...
要实现SSL双向认证, 你必须同时配置Web服务器证书和客户端证书, 并且需要在服务器和客户端之间正确安装根证书。如此方可实现如文所示双向认证。
Tomcat6配置使用SSL双向认证
Word文档,图文介绍如何配置Tomcat6,实现SSL双向认证通讯
tomcat配置双向SSL认证[整理].pdf
一:生成CA证书 二.生成server证书。 三.生成client证书。 四.根据ca证书生成jks文件 五.配置tomcat ssl 六.导入证书 七.验证ssl配置是否正确
呕心沥血,实践出真知,tomcat的ssl配置,实现双向通信。
tomcat实现SSL双向认证配置帮助文档
一:生成CA证书 二.生成server证书。 三.生成client证书。 四.根据ca证书生成jks文件 五.配置tomcat ssl 六.导入证书 七.验证ssl配置是否正确
双向认证和单向认证原理基本差不多,只是除了客户端需要认证服务端以外,增加了服务端对客户端的认证,下面这篇文章主要介绍了利用keytools为tomcat 7配置ssl双向认证的方法,需要的朋友可以借鉴,下面来一起看看吧...
在Tomcat_6中配置SSL双向认证(CA_Key)
配置适用于正式使用环境下的 Tomcat认证关于如何使用 Tomcat 服务器实现双向 SSL 认证的文章很早就有了,比较实用的文章可以看看 IBM中国网站月
SSL配置手册-双向ssl认证-证书生成-证书生成示例-tomcat配置
由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件,使用如下命令: keytool...
资源中包含了关于如何使用keytool生成证书,如何在tomcat中配置,并且在java web中如何配置
一个项目中 客户需求是这样的:指定的电脑可以打开。 在浏览器没安装证书的情况下 客户是无法打开我们的bs系统的。安装证书后可以打开。