Ubuntu下利用JDK的Keytool配置Tomcat7.0的SSL协议
2011-10-08 11:38
495 查看
Ubuntu下利用JDK的Keytool配置Tomcat7.0的SSL协议:
1.用JDK自带的Keytool生成服务器证书:
1)打开终端控制台,转向tomcat主目录,执行生成keystore文件命令:
keytool -genkey -alias tomcat -keyalg RSA -keypass tomcat -storepass tomcat -keystore server.keystore -validity 3600
——在tomcat主目录下生成server.keystore文件;
2)根据keystore文件产生的证书请求,向CA申请服务器数字证书:
keytool -export -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass tomcat
——在tomcat主目录下生成server.cer文件;
3)将信息中心签发的服务器证书server.cer导入到server.keystore文件:
keytool -import -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass tomcat
2.用JDK自带的Keytool生成客户端证书:
1)为支持证书顺利导入到IE和Firefor,证书格式为PKCS12,命令如下:
keytool -genkey -v -alias client -keyalg RSA -storetype PKCS12 -validity 3600 -keystore client.p12 -storepass client -keypass client
——在tomcat主目录下生成client.p12文件;
2)让服务器信任客户端证书:
双向SSL认证,服务器要信任客户端证书,因此要把客户端证书添加为服务器的信任认证,由于不能直接将PKCS12格式的证书导入,要先把客户端证书导出为一个单独的CER文件,命令:
keytool -export -alias client -keystore client.p12 -storetype PKCS12 -storepass client -rfc -file client.cer
——在tomcat主目录下生成client.cer文件;
将client.cer导入到服务器的证书库server.keystore,添加为一个信任证书:
keytool -import -v -file client.cer -keystore server.keystore -storepass tomcat
——认证已添加至keystore中
3)通过list命令查看服务器的证书库,可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书:keytool -list -keystore server.keystore -storepass tomcat
4)删除命令:keytool -delete -alias myKey -keystore server.keystore -storepass tomcat
3.修改tomcat配置:conf/server.xml
<!-- Define a SSL HTTP/1.1 Connector on port 8443
This connector uses the JSSE configuration, when using APR, the
connector should be using the OpenSSL style configuration
described in the APR documentation -->
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="server.keystore" keystorePass="tomcat"
truststoreFile="server.keystore" truststorePass="client"
/>
1)clientAuth="true",双向认证;
2)clientAuth="false",单向认证;
4.重新启动tomcat,执行./bin/startup.sh命令,访问https://127.0.0.1:8443
1)clientAuth="false",单向认证,成功打开tomcat首页;
2)clientAuth="true",双向认证,打开Firefox菜单:编辑->首选项->高级->加密->查看证书->你的证书,将client.p12导入到IE中,按照Firefox提示完成登录tomcat首页;
5.服务器SSl证书获取代码
if(request.isSecure())//如果是SSL通信
{
java.security.cert.X509Certificate[] certs=(java.security.cert.X509Certificate[])request.getAttribute("javax.servlet.request.X509Certificate");
if(certs!=null && certs.lengtt>0)
{
subjectDN="Certificates found";
}
}
使用java解析证书可获取证书中用户信息
issue=certs.getIssuerDN().toString();//证书签发者
subject=certs.getSubjectDN().getName();//证书所有者
after=certs.getNotAfter().toString();//证书起效时间
before=certs.getNotBefore().toString();//证书到期时间
version=Integer.toString(certs.getVersion());//证书版本
serialno=certs.getSerialNumber().toString();//证书序列号
5.参考地址:
http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html //tomcat6.0 ssl配置
http://wenku.baidu.com/view/e7b22df0f90f76c661371a6f.html //Tomcat SSL配置
1.用JDK自带的Keytool生成服务器证书:
1)打开终端控制台,转向tomcat主目录,执行生成keystore文件命令:
keytool -genkey -alias tomcat -keyalg RSA -keypass tomcat -storepass tomcat -keystore server.keystore -validity 3600
——在tomcat主目录下生成server.keystore文件;
2)根据keystore文件产生的证书请求,向CA申请服务器数字证书:
keytool -export -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass tomcat
——在tomcat主目录下生成server.cer文件;
3)将信息中心签发的服务器证书server.cer导入到server.keystore文件:
keytool -import -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass tomcat
2.用JDK自带的Keytool生成客户端证书:
1)为支持证书顺利导入到IE和Firefor,证书格式为PKCS12,命令如下:
keytool -genkey -v -alias client -keyalg RSA -storetype PKCS12 -validity 3600 -keystore client.p12 -storepass client -keypass client
——在tomcat主目录下生成client.p12文件;
2)让服务器信任客户端证书:
双向SSL认证,服务器要信任客户端证书,因此要把客户端证书添加为服务器的信任认证,由于不能直接将PKCS12格式的证书导入,要先把客户端证书导出为一个单独的CER文件,命令:
keytool -export -alias client -keystore client.p12 -storetype PKCS12 -storepass client -rfc -file client.cer
——在tomcat主目录下生成client.cer文件;
将client.cer导入到服务器的证书库server.keystore,添加为一个信任证书:
keytool -import -v -file client.cer -keystore server.keystore -storepass tomcat
——认证已添加至keystore中
3)通过list命令查看服务器的证书库,可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书:keytool -list -keystore server.keystore -storepass tomcat
4)删除命令:keytool -delete -alias myKey -keystore server.keystore -storepass tomcat
3.修改tomcat配置:conf/server.xml
<!-- Define a SSL HTTP/1.1 Connector on port 8443
This connector uses the JSSE configuration, when using APR, the
connector should be using the OpenSSL style configuration
described in the APR documentation -->
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="server.keystore" keystorePass="tomcat"
truststoreFile="server.keystore" truststorePass="client"
/>
1)clientAuth="true",双向认证;
2)clientAuth="false",单向认证;
4.重新启动tomcat,执行./bin/startup.sh命令,访问https://127.0.0.1:8443
1)clientAuth="false",单向认证,成功打开tomcat首页;
2)clientAuth="true",双向认证,打开Firefox菜单:编辑->首选项->高级->加密->查看证书->你的证书,将client.p12导入到IE中,按照Firefox提示完成登录tomcat首页;
5.服务器SSl证书获取代码
if(request.isSecure())//如果是SSL通信
{
java.security.cert.X509Certificate[] certs=(java.security.cert.X509Certificate[])request.getAttribute("javax.servlet.request.X509Certificate");
if(certs!=null && certs.lengtt>0)
{
subjectDN="Certificates found";
}
}
使用java解析证书可获取证书中用户信息
issue=certs.getIssuerDN().toString();//证书签发者
subject=certs.getSubjectDN().getName();//证书所有者
after=certs.getNotAfter().toString();//证书起效时间
before=certs.getNotBefore().toString();//证书到期时间
version=Integer.toString(certs.getVersion());//证书版本
serialno=certs.getSerialNumber().toString();//证书序列号
5.参考地址:
http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html //tomcat6.0 ssl配置
http://wenku.baidu.com/view/e7b22df0f90f76c661371a6f.html //Tomcat SSL配置
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Ubuntu下利用JDK的Keytool配置Tomcat7.0的SSL协议(单向认证简易版)
- 在腾讯云Ubuntu14.04上安装配置jdk,tomcat,mysql,openfire
- Ubuntu云服务器下载并配置JDK及Tomcat
- tomcat7+jdk的keytool生成证书 配置https
- Ubuntu下安装配置JDK,Tomcat,MySql
- ubuntu 安装配置 jdk,tomcat,mysql
- Ubuntu 14.04安装配置JDK+Eclipse+Tomcat
- 在Ubuntu中安装配置jdk&Tomcat详细教程
- Ubuntu12.04 配置Java开发环境:JDK1.7+Eclipse+Tomcat7.0
- 在 Linux RedHatEL6 环境下安装配置 JDK1.7 + Tomcat7.0 + MySQL5.6
- 在Ubuntu 12.04系统中安装jdk和配置tomcat服务器
- ubuntu+Mysql+jdk+tomcat+apache环境配置
- Ubuntu下安装与配置jdk、tomcat
- ubuntu13.10配置java编程环境,jdk.eclipse.tomcat
- 在Ubuntu 10.10下安装JDK配置Eclipse及Tomcat【转载 + 订正】
- Ubuntu10.04下配置和使用JDK-Mysql-Tomcat-SVN
- tomcat配置https–采用JDK自带的keytool工具生成证书
- ubuntu16.04配置Javaweb环境(jdk+ tomcat)
- Ubuntu 安装配置jdk+tomcat
- ubuntu jdk+eclipse+tomcat安装配置