keytool生成證書與tomcat 的SSL的配置使用
1、Keytool介紹java
Keytool是一個Java數據證書的管理工具。Keytool將密鑰(key)和證書(certificates)存在一個稱爲keystore的文件中在keystore裏,包含兩種數據:web
-
密鑰實體(Key entity)——密鑰(secret key)又或者是私鑰和配對公鑰(採用非對稱加密)算法
- 可信任的證書實體(trusted certificate entries)——只包含公鑰
Alias(別名):每一個keystore都關聯這一個獨一無二的alias,這個alias一般不區分大小寫tomcat
keystore的存儲位置服務器
在沒有制定生成位置的狀況下,keystore會存在與用戶的系統默認目錄, 如:對於window xp系統,會生成在系統的C:/Documents and Settings/UserName/ 文件名爲「.keystore」ide
keystore的生成:keytool -genkey -alias tomcat -keyalg RSA -keystore d:/mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 36500工具
參數說明:測試
-genkey表示要建立一個新的密鑰
-dname表示密鑰的Distinguished Names,
CN=commonName
OU=organizationUnit
O=organizationName
L=localityName
S=stateName
C=country
Distinguished Names代表了密鑰的發行者身份
-keyalg使用加密的算法,這裏是RSA
-alias密鑰的別名
-keypass私有密鑰的密碼,這裏設置爲changeit
-keystore 密鑰保存在D:盤目錄下的mykeystore文件中
-storepass 存取密碼,這裏設置爲changeit,這個密碼提供系統從mykeystore文件中將信息取出
-validity該密鑰的有效期爲 36500表示100年 (默認爲90天)網站
cacerts證書文件(The cacerts Certificates File)ui
改證書文件存在於java.home/lib/security目錄下,是Java系統的CA證書倉庫
2、準備工做
- 驗證是否已建立過同名的證書
Window : keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
Linux : keytool -list -v -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
- 刪除已建立的證書
Window : keytool -delete -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
Linux : keytool -delete -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
3、建立證書
- 服務器中生成證書:
(注:生成證書時,CN要和服務器的域名相同,若是在本地測試,則使用localhost)
Window : keytool -genkey -alias tomcat -keyalg RSA -keystore d:/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit
Linux : keytool -genkey -alias tomcat -keyalg RSA -keystore ~/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit
- 導出證書,由客戶端安裝:
window : keytool -export -alias tomcat -keystore d:/my.keystore -file d:/mycerts.cer -storepass changeit
Linux : keytool -export -alias tomcat -keystore ~/my.keystore -file ~/mycerts.cer -storepass changeit
- 客戶端配置:爲客戶端的JVM導入密鑰(將服務器下發的證書導入到JVM中)
window : keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -file d:/mycerts.cer -storepass changeit
Linux : keytool -import -trustcacerts -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -file ~/mycerts.cer -storepass changeit
4、配置Tomcat SSL
修改server.xml中的SSL服務
Window :
<Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="d:/my.keystore" keystorePass="changeit"/>
Linux:
<Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="~/my.keystore" keystorePass="changeit"/>
5、常見問題
- 未找到可信任的證書
主要緣由爲在客戶端未將服務器下發的證書導入到JVM中,能夠用
keytool -list -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
來查看證書是否真的導入到JVM中。
- keytool錯誤:java.io.IOException:keystore was tampered with,or password was incorrect
緣由是在你的home目錄下是否還有.keystore存在。若是存在那麼把他刪除掉,後再執行
或者刪除"%JAVA_HOME%/jre/lib/security/cacerts 再執行
建議直接刪掉cacerts再導入
Tomcat配置https及訪問http自動跳轉至https
完成上述操做就能夠經過https://www.xxx.com:8443 或者 http://www.xxx.com:[port]訪問網站;
第二步:配置Tomcat
打開$CATALINA_HOME/conf/server.xml,修改以下:
<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />
修改參數=>
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" />
<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"/>
-->
去掉註釋且修改參數=>
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat.keystore" keystorePass="changeit"/>
<!--
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" />
-->
修改參數=>
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" />
第三步:配置tomcat的web.xml在該文件末尾增長:強制https訪問及輸入http:// 自動跳轉https://配置以下:<login-config><!-- Authorization setting for SSL --><auth-method>CLIENT-CERT</auth-method><realm-name>Client Cert Users-only Area</realm-name></login-config><security-constraint><!-- Authorization setting for SSL --><web-resource-collection ><web-resource-name >SSL</web-resource-name><url-pattern>/*</url-pattern></web-resource-collection><user-data-constraint><transport-guarantee>CONFIDENTIAL</transport-guarantee></user-data-constraint></security-constraint>
- 1. keytool生成證書與Tomcat SSL配置
- 2. Keytool生成證書並在Tomcat配置SSL
- 3. Tomcat服務器配置https認證(使用keytool生成證書)
- 4. 使用keytool 生成證書
- 5. 通過keytool生成SSL認證證書
- 6. 2.tomcat 配置keytool 證書
- 7. Keytool生成證書
- 8. Tomcat服務器配置https雙向認證(使用keytool生成證書)
- 9. tomcat生成ssl證書
- 10. 用keytool生成證書
- 更多相關文章...
- • Spring Bean的配置及常用屬性 - Spring教程
- • Hibernate事務的配置 - Hibernate教程
- • Composer 安裝與使用
- • C# 中 foreach 遍歷的用法
-
每一个你不满意的现在,都有一个你没有努力的曾经。