tomcat+ssl
Tomcat7配置双向SSL
Tomcat7配置双向SSL根证书1.建立CA工作目录mkdir cacd ca2.生成CA私钥openssl genrsa -out ca-key.pem 10243.生成待签名证书openssl req -new -out ca-req.csr -key ca-key.pem//ca-cert.pem即为CA根证书,可将其下发到客户端,导入作为根证书。
私钥changeit4.用CA私钥自签名openssl x509 -req -in ca-req.csr -out ca-cert.pem -signkey ca-key.pem -days 3655.导出pk12openssl pkcs12 -export -clcerts -in ca-cert.pem -inkey ca-key.pem -out ca-cert.p12查看证书openssl x509 -in ca-cert.pem -noout -text –modulus如果按请求生成CA证书,由证书申请者生成请求文件certreq.txt。
CA端执行签名,生成证书文件1.ceropenssl x509 -req -in c:\certreq.txt -out c:\1.cer -CA ca\ca-cert.pem -CAkeyca\ca-key.pem -days 365 –Cacreateserial生成server证书1.创建私钥openssl genrsa -out server-key.pem 10242.创建证书请求openssl req -new -out server-req.csr -key server-key.pem3.自签署证书openssl x509 -req -in server-req.csr -out server-cert.pem -signkey server-key.pem-CA ../ca/ca-cert.pem -CAkey ../ca/ca-key.pem -CAcreateserial -days 3654.将证书导出成浏览器支持的.p12格式,密码changeitopenssl pkcs12 -export -clcerts -in server-cert.pem -inkey server-key.pem -out server.p12keytool -keystore serverstore.jks -keypass 123456 -storepass 123456 -alias ca -import-trustcacerts -file ~/ca/ca-cert.pemkeytool -keystore serverstore.jks -keypass 123456 -storepass 123456 -alias server-import -trustcacerts -file ~/server/server-cert.pem生成client证书1.创建私钥:openssl genrsa -out client-key.pem 10242.创建证书请求:openssl req -new -out client-req.csr -key client-key.pem3.自签署证书:openssl x509 -req -in client-req.csr -out client-cert.pem -signkey client-key.pem-CA ../ca/ca-cert.pem -CAkey ../ca/ca-key.pem -CAcreateserial -days 365openssl x509 -in client-cert.pem -noout -text –modulus4.将证书导出成浏览器支持的.p12格式:openssl pkcs12 -export -clcerts -in client-cert.pem -inkey client-key.pem -out client.p12密码:changeit根据ca证书生成jks文件keytool -keystore truststore.jks -keypass 123456 -storepass 123456 -alias ca -import-trustcacerts -file ~/ca/ca-cert.pem导入证书在客户端浏览器导入ca-cert.p12作为受信任的根证书,client.p12作为个人证书Tomcat配置server.xmljsse模式<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"SSLEnabled="true"maxThreads="150" scheme="https" secure="true"clientAuth="true" sslProtocol="TLS"keystoreFile="../conf/ssl/server.p12" keystorePass="changeit" keystoreType="PKCS12"truststoreFile="../conf/ssl/truststore.jks" truststorePass="123456" truststoreType="JKS"/>apr模式<Connector port="8443" protocol="org.apache.coyote.http11.Http11AprProtocol"maxThreads="150"enableLookups="false" disableUploadTimeout="true"acceptCount="100" scheme="https" secure="true"clientAuth="true"SSLEnabled="true"SSLProtocol="all"SSLCipherSuite="ALL"SSLCertificateFile="../conf/ssl/server-cert.pem"SSLCertificateKeyFile="../conf/ssl/server-key.pem"SSLCACertificateFile="../conf/ssl/ca-cert.pem"SSLCACertificatePath="../conf/ssl"SSLVerifyDepth="15"SSLVerifyClient="require" />。
tomcat ssl证书格式
Tomcat SSL证书格式SSL证书在保护互联网通信中起着至关重要的作用。
Tomcat作为一种常用的Java Web服务器,也需要配置SSL证书以确保安全性。
在本文中,我们将讨论Tomcat SSL证书的格式。
一、什么是SSL证书SSL证书是一种数字证书,用于确保网站的安全性和数据的保密性。
它通过加密通信数据,确保数据在传输过程中的安全性。
同时,SSL证书还能验证服务器的身份,确保用户与合法服务器建立连接,防止中间人攻击。
二、Tomcat SSL证书配置步骤1. 生成SSL证书在配置Tomcat SSL证书之前,需要先生成SSL证书。
常见的生成方式有使用Java keytool工具或使用第三方工具如OpenSSL。
生成证书时需要指定密钥长度、有效期、域名等信息。
2. 导入证书到密钥库生成证书后,需要将证书导入到Tomcat使用的密钥库中。
密钥库是存储安全证书的地方。
使用keytool工具可以将证书导入到密钥库中。
3. 配置Tomcat的server.xml文件打开Tomcat的server.xml配置文件,在其中找到Connector元素,并添加以下属性:<Connector port="443"protocol="org.apache.coyote.http11.Http11NioProtocol"maxThreads="150" SSLEnabled="true" scheme="https"secure="true" keystoreFile="密钥库文件路径"keystorePass="密钥库密码"clientAuth="false" sslProtocol="TLS"/>其中,keystoreFile属性为密钥库文件路径,keystorePass属性为密钥库密码。
Tomcat 7 SSL配置文档(https)
Tomcat 7.0 SSL配置(https)
1.Java key tool 方式配置
1)确保系统环境变量中的path变量已经添加java目录里的bin目录
2)打CMD命令行窗口,输入以下命令:keytool -v -genkey -alias tomcat -keyalg RSA
-keystore d:/tomcat.keystore -validity 36500
注:这里的tomcat、tomcat.keystore名字可以自定义,d:/tomcat.keystore
是文件保存位置,36500表示证书的有效期是36500天大概100年。
3)将会提示输入两次密码(这里我输入的是tomcat)
4)然后要一个个提示输入信息,任意输入即可
5)输入完后进行确认:输入y即可
6)然后会提示输入这个证书的密码和keystore的密码相同,按回车就行了,
这里直接回车就行了。
7)完成后到文件保存位置复制文件放tomcat主目录里的bin目录下
8)返回到tomcat主目录,进入conf目录,编辑service.xml文件
9)找到下图位置,把原本注释着的<Connector……的注释解开或复制一份
放在下面,并添加keystoreFile(证书文件位置),keystorePass(证书密码)
10)配置完成,启动服务器测试,到bin目录打开tomcat7.exe
11)打开浏览器访问https://localhost:8443,能够进入tomcat的首页就是成功
了。
12)。
Tomcat APR模式的SSL配置
Tomcat8.5 APR模式的SSL配置目录:1环境说明 (3)2配置OpenSSL (3)3使用OpenSSL创建证书 (5)3.1创建根证书 (5)3.2创建自签证书 (7)4配置Tomcat服务器 (8)5测试 (10)1环境说明2配置OpenSSL配置openSSL,执行命令:cd /opt/openssl/ssl/cp f openssl_fvi f在[req ] 节点下,取消对req_extensions= v3_req 的注释修改为在[v3_req] 节点下添加subjectAltName 属性,注意IP地址为tomcat服务器IP修改为在[ CA_default] 节点下取消对copy_extensions= copy 的注释3使用OpenSSL创建证书3.1创建根证书生成CA根密钥,执行命令:cd /rootopenssl genrsa -out rootCA.pem 2048使用根密钥创建根证书(CA证书),执行命令:注意:以下为一条命令openssl req -x509 -new -nodes \-key rootCA.pem -sha256 -days 1024 \-out rootCA.crtrootCA.crt为CA根证书。
将证书复制到你的宿主机或测试机上,在浏览器上安装该CA根证书。
安装方法:IE: Internet Options->Content->CertificatesChrome: Settings->Advanced->Privacy and security->Manage certificatesIE & Chrome 都会指定到相同的windows certificate repository,选择"Trusted Root Certification Authorities", Import "rootCA.crt"下图为IE的配置截图:3.2创建自签证书创建服务器密钥,执行命令:openssl genrsa -out serverkey.pem 2048使用服务器密钥创建服务器证书的请求文件,执行命令:openssl req -new -key serverkey.pem \-out server.csr -config /opt/openssl/ssl/f \-extensions v3_req注意:此时需要输入除Common Name (eg, YOUR name) []外与创建CA根证书时相同的信息。
Nginx+tomcat+ssl安装配置手册
Nginx + tomcat + SSL 安装配置手册1.介绍Nginx ("engine x") 是一个高性能的 HTTP 和反向代理服务器,也是一个IMAP/POP3/SMTP 代理服务器。
nginx有以下几项基本特性:模块化结构过滤器包括gzipping, byte ranges, chunked responses,以及 SSI-filter等filter。
高性能支持内核Poll模型,能经受高负载的考验,有报告表明能支持高达 50,000个并发连接数。
高稳定性Nginx采取了分阶段资源分配技术,使得它的CPU与内存占用率非常低。
官方表示保持10,000个没有活动的连接,它只占2.5M内存。
多负载策略多种分配策略,并且分配均匀。
自Nginx 发布四年来,Nginx 已经因为它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名了。
目前国内各大门户网站已经部署了Nginx,如新浪、网易、腾讯等;国内几个重要的视频分享网站也部署了Nginx,如六房间、酷6等。
2.准备2.1 资源Nginx中文网站:/Nginx英文网站:/PCRE网站:/2.2 相关软件1)PCREPCRE(Perl Compatible Regular Expressions)中文含义:perl语言兼容正则表达式)是一个用C语言编写的正则表达式函数库。
neginx中使用正则表达式进行灵活配置,安装之前需要确认PCRE已安装。
下载地址:/,使用版本pcre-8.12.tar.gz2)nginx-upstream-jvm-routenginx_upstream_jvm_route 是一个 Nginx 的扩展模块,用来实现基于Cookie 的Session Sticky 的功能。
下载地址(svn):/svn/trunk/3.4.4.1 Windows版安装安装文件为.zip文件,解压缩后,运行目录中的nginx.exe(或使用命令),服务启动。
Android HttpClient 访问 Tomcat双向SSL验证服务器
Android HttpClient 访问 Tomcat双向SSL验证服务器项目需要,在Android WebView上访问Tomcat SSL双向验证。
本文只解决了Android HttpClient 访问Tomcat双向SSL验证服务器。
环境准备:●Windows 2003 EE;●OpenSSL;●Tomcat 7;过程记录如下:1.用OpenSSL和keytools做CA,Client,Server的证书、私钥。
2.搭建Tomcat的双向验证的Web服务器。
3.用IE验证SSL的双向验证的有效性。
上面的三步参见文档:tomcat下https ssl 双向认证唯一的问题是:Tomcat7的配置不同。
server.xml 加入如下XML代码:<ConnectorclassName="org.apache.catalina.connector.http.HttpConnector"protocol="org.apache.coyote.http11.Http11NioProtocol"port="8443" minSpareThreads="5" maxSpareThreads="75"enableLookups="true" disableUploadTimeout="true"acceptCount="100" maxThreads="200"scheme="https" secure="true" SSLEnabled="true"clientAuth="true" sslProtocol="TLS"keystoreFile="C:/OpenSSL/server/server_keystore"keystorePass="66666"/>keystorePass 是自己server_keystore的密码单向验证把clientAuth="true" 修改为false4.编写Android的SSL验证程序,但只能做到单向验证服务器的证书。
Tomcat配置SSL证书及测试步骤
1、生成server.keystore文件dos命令窗口下,进入tomcat根目录,运行keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600其中keytool为java自带生成证书工具,alias为别名,keyalg是编码方式-keystore 为生成文件名称,-validity 为证书有效日期若不写默认为90天。
出现名字与姓氏(写localhost或网站域名),组织单位名称,组织名称,城市或区域名称,州或省份名称,国家代码各选项,最后输入y确认。
此时会在tomcat根目录下生成server.keystore文件。
2、配置tomcat conf/server.xml文件,解除下面一段注释,并添加keystoreFile 和keystorePass 属性,默认端口号为8443,如果是tomcat 6.0版本将protocol属性改为rg.apache.coyote.http11.Http11NioProtocol。
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"SSLEnabled="true" maxThreads="150" scheme="https" secure="true"clientAuth="false"sslProtocol="TLS"keystoreFile="F:\apache-tomcat-6.0.37\server.keystore"keystorePass="changeit"/>3、在页面测试,https://localhost:8443,提示此网站的安全证书有问题,点击继续浏览,IE9地址栏里会出现证书错误的提示,单击红色图标查看证书,若信息无误选择安装在对话框中为证书选择存储点击下一步直至完成出现导入成功提示。
keytool+tomcat配置HTTPS双向证书认证
keytool+tomcat配置HTTPS双向证书认证(无openssl)">在Tomcat 6中配置SSL双向认证是相当容易的,本文将介绍如何使用JDK的keytool来为Tomcat配置双向SSL认证。
系统需求:JDK 5.0Tomcat 6.0.16定位到你要生成keystore的路径第一步:为服务器生成证书使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件存放在“C:\tomcat.keystore”,口令为“password”,使用如下命令生成:keytool -genkey -v -alias Server -keyalg RSA -keystore server.keystore如果Tomcat所在服务器的域名不是“localhost”,应改为对应的域名,如“”,否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。
在本地做开发测试时,应填入“localhost”D:\Tomcat 6.0\SSLkey>keytool -genkey -keystore server.keystore -alias Server -storepass changeit -keyalg RSA您的名字与姓氏是什么?[Unknown]:localhost ---- 这里必须与与域名相同(如果Tomcat所在服务器的域名不是“localhost”,应改为对应的域名,如“”)您的组织单位名称是什么?[Unknown]:cjis您的组织名称是什么?[Unknown]:cjis您所在的城市或区域名称是什么?[Unknown]:深圳您所在的州或省份名称是什么?[Unknown]:gd该单位的两字母国家代码是什么[Unknown]:cnCN=localhost, OU=cjis, O=cjis, L=深圳, ST=gd, C=cn 正确吗?[否]:y输入<Server>的主密码(如果和keystore 密码相同,按回车):第二步:为客户端生成证书下一步是为浏览器生成证书,以便让服务器来验证它。
tomcat开启SSL8443端口
参考文献:/tomcat-7.0-doc/ssl-howto.html/s/blog_682b5aa1010113uu.html(中文,比较实用)https:///community/TomcatSSL/fjssharpsword/article/details/6851969(服务器和客户端证书)背景本文以ubuntu环境为例进行说明,具体环境如下OS:ubuntu-server_12.04TOMCAT_HOME:/usr/local/tomcat7,安装方法参考:windows和linux 下将tomcat 注册为服务JAVA_HOME:/usr/lib/jvm/jdk1.7.0_45,安装方法参考:ubuntu下安装JDK并配置java环境总体思路服务器端1.用JDK自带的Keytool生成keystore文件1)打开终端控制台,转向tomcat主目录,执行生成keystore文件命令,这条命令的作用是在tomcat主目录下生成server.keystore文件,这里设定的server.keystore的密码是Envisi0n,这个密码在后面会用到。
keytool -genkey -alias tomcat -keyalg RSA -keypass Envisi0n -storepass Envisi0n -keystore server.keystore -validity 36002)根据keystore文件生成证书,这条命令的作用是在tomcat主目录下生成server.cer证书文件。
keytool -export -trustcacerts -alias tomcat -file server.cer -keystore server.keystore -storepass Envisi0n客户端如果要访问tomcat的ssl8843端口,需要导入这个证书。
当然生成证书的方法还有更加简单的,就是在客户端使用浏览器下载证书,可以是firfox,也可以是chrome,chrome证书导出方式如下:3)%TOMCAT_HOME%\conf\server.xml,找到一下这段内容,将这段的注释取消掉<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS"/>并添加keystoreFile和keystorePass,如下图所示:<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS"keystoreFile="/usr/local/tomcat7/server.keystore"keystorePass="Envisi0n"/>客户端导入证书拿到上面第二步获得的证书以后,将此证书导入到JDK的cacerts库当中,执行如下命令keytool -importcert -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -file d:/keystore/cas.cer -alias caskeyJDK的cacerts这个keystore的默认密码是changeit。
java+tomcat+openssl,https单向认证、双向认证(亲测)
java+tomcat+openssl,https单向认证、双向认证(亲测)展开全文1.生成根证书、服务端证书、客户端证书1.1 生成CA根证书1.生成跟证书私钥root_private.key2.openssl genrsa -out root_private.key 10243.(私钥中包含附加信息,可推到出公钥。
使用私钥生成的证书包含对应公钥)4.生成根证书签发请求文件root.csr5.openssl req -new -key root_private.key -out root.csr -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=Testcompany/OU=Test company/CN=Test company"6.生成X.509格式的CA根证书root.crt7.openssl x509 -req -days 365 -in root.csr -out root.crt -signkey root_private.key8.根据root.crt证书生成truststore JKS文件root.truststore,输入秘钥库密码123456。
9.这一步只针对双向认证,单向不需要。
10.keytool -keystore root.truststore -import -trustcacerts -file root.crt11.输入yes,信任此证书。
1.2 使用根证书签发服务端证书(正常是先签发二级证书,由二级证书对服务端签发)1.生成服务端私钥文件server_private.key2.openssl genrsa -out server_private.key 10243.签名请求文件server.csr4.openssl req -new -key server_private.key -out server.csr -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=test-server/OU=test-server/CN=test-server"5.使用根证书签发服务端证书server.crt6.openssl x509 -req -days 365 -sha1 -CA root.crt -CAkey root_private.key -CAserial ca.srl -CAcreateserial -in server.csr -out server.crt7.查看证书信息8.openssl x509 -in server.crt -text -noout9.将服务端证书转换为pkcs12格式,密码12345610.openssl pkcs12 -export -in server.crt -inkey server_private.key -out server.p1211.生成服务端秘钥库server.keystore,秘钥库密码也为12345612.keytool -importkeystore -srckeystore server.p12 -destkeystore server.keystore -srcstoretype pkcs1213.查看keystore14.keytool -list -v -keystore server.keystore1.3 使用根证书签发客户端证书•生成客户端私钥文件client_private.key•openssl genrsa -out client_private.key 1024•签名请求文件client.csr•openssl req -new -key client_private.key -out client.csr -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=test-client/OU=test-client/CN=test-client"•使用根证书签发客户端证书client.crt•openssl x509 -req -days 365 -sha1 -CA root.crt -CAkey root_private.key -CAserial ca.srl -CAcreateserial -in client.csr -out client.crt•证书转换为pkcs12格式,密码123456•以上生成的公私钥和证书都是PEM格式的,服务端、浏览器一般使用PKCS12格式。
tomcat基础知识介绍
tomcat基础知识介绍Tomcat是Apache软件基金会下的一个开源的Servlet容器,是目前使用最广泛的Java Web服务器软件之一、它的全名是Apache Tomcat,最早由Apache软件基金会(ASF)启动,并且在2000年11月投入实际使用。
本文将介绍Tomcat的基础知识,包括它的功能、特点以及与其他服务器的区别等。
1.功能:Tomcat的主要功能是作为一个Web服务器来运行Java Web应用程序。
它支持Java Servlet、JavaServer Pages(JSP)和Java WebSocket等技术,可以处理HTTP请求、生成动态网页内容以及管理会话等。
Tomcat还支持SSL/TLS连接,可以保障网络传输的安全性。
2.特点:(1)轻量级:Tomcat是一个轻量级的Servlet容器,它的核心组件占用资源较少。
这使得Tomcat可以在资源有限的环境中运行,并且能够快速地启动和响应请求。
(3)可扩展性:Tomcat支持插件机制,可以通过添加额外的组件来扩展它的功能。
这些组件包括数据源、连接池、集群等,可以根据需要选择合适的组件进行扩展。
(4)高度可定制化:Tomcat提供了丰富的配置选项,可以根据实际需求进行定制。
它支持虚拟主机配置、URL重写、访问控制、会话管理等功能,可以满足各种复杂的需求。
3. Tomcat与其他服务器的区别:Tomcat是一个纯粹的Java Web服务器,而与常见的Web服务器如Apache HTTP Server(简称Apache)或Nginx等有所不同。
Apache是一个通用的、跨平台的Web服务器,可以处理静态内容,并通过与其他模块的结合提供CGI、FastCGI以及代理等功能。
Nginx也是一个通用的Web服务器,重点在于高并发性能和反向代理。
相比之下,Tomcat专注于Java Web应用程序的运行。
它通过Servlet容器提供对Java Web技术的支持,并且能够与其他Web服务器(如Apache和Nginx)进行整合,实现更强大的功能。
tomcat 证书类型
tomcat 证书类型Tomcat证书类型Tomcat是一个非常流行的开源Web服务器,它被广泛用于Java应用程序的部署和运行。
在保护数据传输的安全性方面,Tomcat提供了许多身份验证和加密机制,其中之一就是证书。
证书在Tomcat中扮演着关键的角色,用于验证服务器和客户端之间的信任关系。
接下来,我们将一步一步地介绍Tomcat中常用的证书类型。
1. 什么是证书?证书是一种用于验证实体身份、保护数据传输安全性的数字文件。
在SSL/TLS协议中,证书用于验证服务器和客户端之间的身份,并启用加密通信。
2. 密钥库和证书库Tomcat使用Java密钥库(JKS)和PEM格式证书库来管理证书和私钥。
JKS是Java密钥存储的默认格式,它存储于密钥库(.jks)文件中。
PEM格式证书库使用Base64编码的ASCII文本文件存储证书和私钥。
3. 自签名证书自签名证书是由证书拥有者自行生成的证书,未经第三方权威机构认证。
自签名证书适用于内部测试或简单加密需求。
要创建自签名证书,您可以使用Java keytool工具或OpenSSL命令行工具。
4. CA签名证书CA签名证书由可信的证书颁发机构(CA)签名,证明证书拥有者的身份。
CA签名证书被广泛接受并信任,用于公共互联网环境中。
要获得CA签名证书,您需要向CA提交证书请求(CSR),并支付一定的费用。
5. 通配符证书通配符证书(Wildcard Certificate)是一种特殊类型的证书,能够匹配特定域名及其所有子域名。
例如,一个通配符证书可以覆盖example、6. 多域名证书多域名证书(Multi-Domain Certificate)也称为通用名称(SAN)证书,在单个证书中可覆盖多个域名。
多域名证书使得管理多个域名的加密变得简便,不需要为每个域名单独发行证书。
7. EV证书扩展验证(EV)证书是一种高级的SSL证书,提供更高级别的安全性和信任度。
tomcat 证书类型
tomcat 证书类型(原创版)目录1.Tomcat 简介2.证书的作用3.Tomcat 中的证书类型4.如何配置 Tomcat 证书5.证书管理的重要性正文【Tomcat 简介】Tomcat 是一个流行的 Java Servlet 容器,被广泛用于部署和运行Java Web 应用程序。
它是 Apache Software Foundation 的一部分,并且是免费的开源软件。
【证书的作用】在 Web 应用程序中,证书用于验证服务器的身份和保护数据传输的安全性。
证书由受信任的第三方机构颁发,包含服务器的公钥和身份信息。
客户端通过验证服务器的证书来确保它正在与正确的服务器进行通信,并且数据传输是加密的。
【Tomcat 中的证书类型】Tomcat 支持多种类型的证书,包括:1.SSL 证书:用于保护客户端与服务器之间的数据传输,通常用于HTTPS 网站。
2.Client 证书:用于验证客户端的身份,通常用于需要客户端身份验证的场景。
3.密钥库:用于存储加密密钥的库,可以包含多个密钥和证书。
【如何配置 Tomcat 证书】要配置 Tomcat 证书,需要执行以下步骤:1.导入证书和私钥:将证书和私钥导入到 Tomcat 的密钥库中。
可以使用 Tomcat 的管理工具或手动编辑密钥库文件。
2.配置 SSL 连接器:在 Tomcat 的配置文件中,配置 SSL 连接器以使用证书和私钥。
需要指定 SSL 协议、端口号和绑定模式等参数。
3.配置客户端证书:如果要验证客户端的身份,需要配置客户端证书。
可以在 Tomcat 的配置文件中指定客户端证书的类型、路径和密码等参数。
【证书管理的重要性】证书管理是保护 Web 应用程序安全的重要组成部分。
证书用于验证服务器的身份和保护数据传输的安全性。
如果证书管理不当,可能会导致安全漏洞和数据泄露等问题。
详解Nginx+TomcatHTTPSSSL配置方法
详解Nginx+TomcatHTTPSSSL配置⽅法这篇⽂章涉及到很多专业术语,例如密钥对,私钥,公钥,证书等等,关于加密的理论和概念请参考我之前写的《》,我在这篇⽂章中就不重复这些概念了。
1. 申请 SSL 证书你可以从很多⽹站购买到SSL证书,我经常使⽤的是。
证书都是收费的(据说有免费的,没试过),价格有贵的有便宜的。
它们的区别是发⾏证书的机构不同,贵的证书机构更权威,证书被否决的⼏率更⼩。
正规运营的⽹站建议购买好⼀点的证书,免了⿇烦,也贵不了多少。
1.1 ⽣成 CSR ⽂件申请证书的时候,证书的发⾏机构会要求你提供⼀个CSR(Certificate Signing Request)⽂件,这个⽂件包含了发⾏机构需要的所有信息。
在⽣成CSR之前,我们必须先创建密钥对:$JAVA_HOME/bin/keytool -genkey -alias <your_alias_name> -keyalg RSA -keystore <your_keystore_filename> -keysize 2048这⾥我们使⽤的是RSA⾮对称算法,2048位的密钥(好的证书机构强制2048位)。
<your_alias_name>可以是⽹站名,⽐如“linuxde”,同理<your_keystore_filename>可以是linuxde.keystore。
这个命令会让你输⼊私钥所有者的信息,也就是你的⽹站的信息,这⾥只有⼀个字段是关键的“Common Name(CN)”,这个字段应该是你的⽹站域名,例如“”,别的字段例如国家地区什么的你看着填就⾏了。
使⽤keytool⼯具的话,它提⽰输⼊“first and last name”就是让你输⼊“Common Name”。
在你填完信息以后,它会让你设置keystore和密钥的访问密码,你输⼊就⾏了,建议使⽤相同的密码。
如果不输⼊的话,默认密码是“changeit”。
Tomcat配置SSL证书(PFX证书)
Tomcat配置SSL证书(PFX证书)公司项⽬,应该是阿⾥云服务器在windows2008 R2搭建的Tomcat部署SSL证书,本⽂以PFX证书为例。
配置好之后开始⼀、什么是SSL(证书)?SSL证书服务(Alibaba Cloud SSL Certificates Service)由阿⾥云联合多家国内外数字证书管理和颁发的权威机构、在阿⾥云平台上直接提供的服务器数字证书。
您可以在阿⾥云平台上直接购买、或者免费获取所需类型的数字证书,并⼀键部署在阿⾥云产品中,以最⼩的成本将您的服务从HTTP 转换成HTTPS,实现⽹站的⾝份验证和数据加密传输。
原⽂:什么是SSL证书?⼆、有什么⽤?以最⼩的成本将您的服务从HTTP转换成HTTPS,实现⽹站的⾝份验证和数据加密传输。
三、怎么⽤?Tomcat部署SSL证书,本⽂以PFX证书为例。
⼀、下载证书在证书控制台下载Tomcat版本证书,下载到本地的是⼀个压缩⽂件,解压后⾥⾯包含.pfx⽂件是证书⽂件,pfx_password.txt是证书⽂件的密码。
友情提⽰:每次下载都会产⽣新密码,该密码仅匹配本次下载的证书。
如果需要更新证书⽂件,同时也要更新密码。
申请证书时如果没有选择系统创建CSR,则没有该⽂件,请选择其它服务器下载.crt⽂件,利⽤openssl命令⾃⼰⽣成pfx证书。
⼆、安装证书2.1 将证书拷贝⾄某⼀⽬录本例是在tomcat⽬录下新建了⽬录2.2 配置server.xml2.3(可选配置)配置web.xml⽂件强制将http跳转⾄https<login-config><!-- Authorization setting for SSL --><auth-method>CLIENT-CERT</auth-method><realm-name>Client Cert Users-only Area</realm-name></login-config><security-constraint><!-- Authorization setting for SSL --><web-resource-collection ><web-resource-name >SSL</web-resource-name><url-pattern>/*</url-pattern></web-resource-collection><user-data-constraint><transport-guarantee>CONFIDENTIAL</transport-guarantee></user-data-constraint></security-constraint>2.4 重启tomcat服务器2.5 (注意项)阿⾥云ECS需注意在安全组配置443端⼝注意:2.2配置server.xml步骤中,为443端⼝配置protocol协议时注意,官⽅⽂档是Http/1.1,但笔者验证时,发现⽆法访问https,遂改为 protocol=“org.apache.coyote.http11.Http11NioProtocol” ,各位读者若是配置正确,却⽆法访问,可以注意⼀下这⾥的protocol。
详解如何给Tomcat配置Httpsssl证书
详解如何给Tomcat配置Httpsssl证书如果需要给Tomcat开启Https,⾸先我们需要⼀个证书,下⾯演⽰如何创建。
创建证书keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "localhost-rsa.jks"后⾯的信息随便输⼊,我这⾥输⼊的是:Enter keystore password:Re-enter new password:What is your first and last name?[Unknown]: pichWhat is the name of your organizational unit?[Unknown]: pichWhat is the name of your organization?[Unknown]: tomcatWhat is the name of your City or Locality?[Unknown]: beijingWhat is the name of your State or Province?[Unknown]: beijingWhat is the two-letter country code for this unit?[Unknown]: cnIs CN=pich, OU=pich, O=tomcat, L=beijing, ST=beijing, C=cn correct?[no]: yEnter key password for <tomcat>(RETURN if same as keystore password):Re-enter new password:这样就会在当前⽬录创建⼀个localhost-rsa.jks⽂件。
密码是123456,别名是tomcat。
给Tomcat配置证书⾸先将上⾯⽣成的localhost-rsa.jks⽂件拷贝到Tomcat的conf⽬录,然后打开该⽬录下⾯的server.xml⽂件,找到如下代码,原来是注释了,现在需要打开注释更改为如下内容:就可以看到如下页⾯:<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"SSLEnabled="true" maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS"keystoreFile="conf/localhost-rsa.jks" keystorePass="123456"/>可以看到地址栏是显⽰为不安全的。
全球服务器证书SSL 配置手册
全球服务器证书SSL配置手册Tomcat 4.1北京数字证书认证中心BEIJING CERTIFICATE AUTHORITY目录1开始申请之前需要注意 (3)2如何产生私钥 (3)3CSR生成指南 (5)4证书安装指南 (6)5如何配置SSL (12)6启动和停止Tomcat (13)7验证SSL连接 (13)8灾难恢复 (13)1开始申请之前需要注意需要安装服务器软件并配置环境,下面我们以Keytool和Tomcat为例进行说明:a) 首先需要准备所需的软件:z Java(TM) 2 SDK, Standard Edition 1.4.1_01下载j2sdk-1_4_1_01-windows-i586.exez Tomcat 4.1下载tomcat-4.1.18.exez Windows 2000 SP 2 or Windows NT SP6az Tomcat做为单独的服务器b) 环境变量设置为:Variable Value User NameCATALINA_HOME C:\Tomcat~1.1 [SYSTEM]JAVA_HOME C:\j2sdk1.4.1_01 [SYSTEM]JSSE_HOME C:\j2sdk1.4.1_01\jre\lib\ext[SYSTEM]TOMCAT_HOME C:\Tomcat~1.1 [SYSTEM]AdministratorPath C:\j2sdk1.4.1_01\binc) 测试服务器安装完Tomcat,并配置完环境后,启动Tomcat并进行测试:http://localhost:8080 to make sure http is working如果没有问题,我们可以进行下一步操作了。
2如何产生私钥新打开一个DOS窗口:1) 新建一个本地的证书密钥存储(Certificate keystore)keytool -genkey -alias tomcat -keyalg RSA \ -keystore请注意:!当keystore建立后,需要指定keystore的存储位置!如果更新证书,你必须重新创建一个新的密钥对和keystore!当您生成CSR或安装自签的keystore证书时,请使用相同的别名例如:C:\>keytool -genkey -alias myalias -keyalg RSA -keystore c:\.mykeystoreEnter keystore password: 输入keystore口令,如passwordWhat is your first and last name?[Unknown]: 输入通用名,如What is the name of your organizational unit?[Unknown]: 输入部门名称,如Sales DeptWhat is the name of your organization?[Unknown]: 输入您的组织名称,如Beijing Certificate AuthorityWhat is the name of your City or Locality?[Unknown]: 输入您所在的市/县/区,如BeijingWhat is the name of your State or Province?[Unknown]: 输入您所在的省/自治区/直辖市,如BeijingWhat is the two-letter country code for this unit?[Unknown]: 输入您所在国家的ISO国家代码,中国为CNis CN=, OU=Sales Dept, O=Beijing Certificate Authority, L=Beijing, ST=Beijing, C=CN correct?[no]: yesEnter key password for (RETURN if same as keystore password): 输入密钥口令The same password MUST be used.非常重要: Tomcat will recognize the location of this keystore even if the specified attributes in your server.xml point to a different keystore.C:\>2) 确认keystore建立成功例如:C:\>keytool -list -v -keystore c:\.mykeystoreEnter keystore password: passwordKeystore type: jksKeystore provider: SUNYour keystore contains 1 entryAlias name: myaliasCreation date: Jan 8, 2003Entry type: keyEntryCertificate chain length: 1Certificate[1]:Owner: CN=, OU=Sales Dept, O=Beijing Certificate Authority, L=Beijing, ST=Beijing, C=CNIssuer: CN=, OU=Sales Dept, O=Beijing Certificate Authority, L=Beijing, ST=Beijing, C=CNSerial number: 3e1cd4e9Valid from: Wed Jan 08 20:48:25 EST 2003 until: Tue Apr 08 21:48:25 EDT 2003 Certificate fingerprints:MD5: D0:BA:7C:A4:D1:D9:CF:46:38:E5:48:22:8E:AB:E2:9BSHA1: 4A:33:FA:11:D6:5F:F4:73:9D:7A:2B:E2:89:F8:C3:57:69:0C:DC:7E3CSR生成指南1) 按照如下方法生成CSRkeytool -certreq -keyalg RSA -alias tomcat -file certreq.csr \ -keystore重要提示:! 当您生成CSR或安装自签的keystore证书时,请使用相同的别名例如:C:\>keytool -certreq -keyalg RSA -alias myalias -file certreq.txt -keystore c:\.mykeystoreEnter keystore password: passwordC:\>2) 生成的CSR如下:-----BEGIN NEW CERTIFICATE REQUEST-----MIIBujCCASMCAQAwejELMAkGA1UEBhMCQ0ExEDAOBgNVBAgTB09udGFyaW8xDz ANBgNVBAcTBk90dGF3YTEQMA4GA1UEChMHRW50cnVzdDETMBEGA1UECxMKRW50cnVzdCBDUzEh MB8GA1UEAxMYd3d35w6T+q/f+wIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEAF+0hqAqXumz/vGrzGVhKH lnxd7HW3ezSGIbIUcOy1YdDc/1ZCqRpu3utYIZ6welK++l+QjlbL6p5RJJETkkLKXjb/WVFajNuPl7Yob9p bwA7JBrCCKbFj+kzDNbGhCR1RgFA9vQj5vob41Vj+k+TQchliuTLL9rFXNDHrtgTMtA=-----END NEW CERTIFICATE REQUEST-----4 证书安装指南按照如下方法安装BJCA的SSL证书1) 安装SSL证书和证书链输入命令:keytool -import -alias root -keystore your_keystore_filename \ -trustcacerts -file filename_of_the_combined_chain_and_webcert例如: C:\>keytool -import -alias myalias -keystore c:\.mykeystore -trustcacerts -file c:\webcert.txt由于java把“cacerts”文件看作可信任的根CA,如果根证书已经存在,则不必再将证书链导入“cacerts”。
windows服务器tomcat openssl申请证书
windows服务器tomcat openssl申请证书在使用Windows服务器部署Tomcat时,为了确保数据传输的安全性,我们需要为服务器申请证书。
本篇文章将为您介绍如何在Windows服务器上安装Tomcat,接着安装OpenSSL,并申请证书。
最后将证书配置到Tomcat 上,以确保数据传输的安全。
一、Windows服务器安装Tomcat1.下载Tomcat安装包,根据服务器版本选择合适的版本。
2.解压安装包到指定目录。
3.设置环境变量,以便在命令行中使用Tomcat相关命令。
二、安装OpenSSL1.下载OpenSSL安装包,根据服务器版本选择合适的版本。
2.解压安装包到指定目录。
3.设置环境变量,以便在命令行中使用OpenSSL相关命令。
三、生成CSR(证书请求)1.打开命令行,切换到OpenSSL安装目录。
2.使用以下命令生成CSR:```openssl genrsa -out server.key 2048```3.使用以下命令生成CSR:```openssl req -new -key server.key -out server.csr```4.填写CSR信息,包括组织、部门、地理位置等。
四、提交CSR申请证书1.登录到CA机构的网站,注册并购买证书。
2.下载CA机构的根证书、颁发证书、配置文件等。
3.将购买的证书导入到本地OpenSSL证书库。
五、安装证书1.将生成的server.crt证书文件复制到Tomcat安装目录的conf文件夹下。
2.将生成的server.key文件复制到Tomcat安装目录的conf文件夹下。
六、配置Tomcat以使用证书1.修改Tomcat的server.xml文件,添加以下配置:```<Connector port="8443" protocol="HTTP/1.1"connectionTimeout="5000"disableUploadTimeout="true"maxThreads="150"minSpareThreads="25"maxSpareThreads="75"enableLookups="true"bufferSize="32768"redirectPort="8443"scheme="https"secure="true"sslProtocol="TLS"clientAuth="false"disableCompression="false"/>```2.保存server.xml文件。
tomcat增加https访问配置方案
客户没有证书,证书自己生成:第一步:为服务器生成证书使用keytool 为Tomcat 生成证书,假定目标机器的域名是“ localhost ”,keystore 文件存放在“E:\key\tomcat.keystore ”,口令为“smartdot123456”,使用如下命令生成:第二步:生成csr文件用于提交CA认证生成证书使用第三步:这个tomcat.cer是为了解决不信任时要导入的第四步:配置Tomcat 服务器打开T omcat 根目录下的/conf/server.xml ,找到如下配置段,修改如下:tomcat 7<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"maxThreads="150" scheme="https" secure="true"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_ 256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"keystoreFile="e:/key/smartdot.store" keystorePass="smartdot123456"clientAuth="false" sslProtocol="TLS" />tomcat 6<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"SSLEnabled="true" maxThreads="150" scheme="https" secure="true"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_ 256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"keystoreFile=" e:/key/smartdot.store " keystorePass="smartdot123456"clientAuth="false" sslProtocol="TLS" />第五步:web.xml修改应用程序的web.xml 可以加上这句话:具体web系统<login-config><!-- Authorization setting for SSL --><auth-method>CLIENT-CERT</auth-method><realm-name>Client Cert Users-only Area</realm-name></login-config><security-constraint><!-- Authorization setting for SSL --><web-resource-collection ><web-resource-name >SSL</web-resource-name><url-pattern>/*</url-pattern></web-resource-collection><user-data-constraint><transport-guarantee>CONFIDENTIAL</transport-guarantee></user-data-constraint></security-constraint>第六步:application.properties 端口访问配置organization.service.url=https\://\:8443/organization-webapp permission.service.url=https\://\:8443/organization-webapp policy.service.url=https\://\:8443/ProcessAdmin到这里启动tomcat,输入https://localhost:8443/这时再打开会弹出一个提示框:证书不可信任,有一个警告,说什么需要机构颁发。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
TomCat5.5服务器证书安装配置指南
Windows2000 Server 提供的CA服务
1、应用环境
·系统环境
Windows2000 Server; Tomcat5.5;IE6.0,JDK1.5
·证书类型
Windows2000 Server CA服务提供的服务器证书和个人证书
2、微软CA服务的搭建
通过“添加/删除程序”----”添加WINDOWS组件”,增加“证书服务”,点击详细信息,两项都选择(“证书颁发机构”“证书WEB申请”),填写必要信息,以生成根证书。
在程序—管理工具里面有“证书办法机构”
通过IE访问http://本地IP/CertSrv,如果出现证书申请界面,则配置成功。
3.安装JDK1.5
到SUN网站下载JDK1.5,并安装。
配置环境变量:我的电脑->属性->高级->环境变量
追加变量名:JA V A_HOME 变量值:E:\tomcat (这里是JDK
的安装根目录)
追加变量名:Path下变量值:%JA V A_HOME%\bin;
追加变量名:CLASSPA TH下变量值:.;%JA V A_HOME%\lib;
或.;%JA V A_HOME%\lib\dt.jar;%JA VA_HOME%\lib\tools.jar
*注:“.;”代表当前目录下的所有引用,“%...%”变量宏替换4.安装TOMCAT5.5
直接安装即可!
5.生成服务器证书和配套的keystore 文件和cacerts文件
5.1产生keystore文件-----weblogic.jks
点击开始->运行输入cmd进入DOS环境,并进入keytool工具所在目录
本示例中是E:\tomcat\bin
●产生keystore文件的命令
Keytool –genkey –alias weblogic –keyalg RSA –keysize 512 –dname “C=CN,OU=HBCA,O=HBCA,L=WUHAN,S=HUBEI,CN=”–keypass 11111111 –keystore ./weblogic.jks –storepass 11111111
如下图:
说明:keysize 512 ----Windows 2000 CA的证书默认的是512位5.2生成证书申请文件---certreq.pem
●生成certreq.pem的命令
Keytool –certreq –alias weblogic –sigalg “SHA1withRSA”
–file ./certreq.pem –keypass 11111111 –keystore ./weblogic,jks –storepass 11111111
如下图:
此时在keytool工具目录下,就产生了certreq.pem和weblogic.jks两个文件,将
certreq.pem的后缀名改为.req
5.3生成服务器证书
在C:\WINNT\System32目录下找到certreq.exe运行文件,直接运行此文件
通过弹出的对话框提交certreq.req文件给WINDOWS CA的证书颁发机构。
通过证书颁发机构通过申请,并颁发证书!
5.4导入根证书及服务器证书
微软的CA服务在创建的时候就已经把根证书下载到C:\CAConfig目录下,将
其导出到keytool工具目录下,保存为wca.cer
●导入wca.cer入weblogic.jks命令
Keytool –import –alias testroot –trustcacerts –file ./wca.cer
–keystore ./weblogic.jks –storepass 11111111
如下图:
●插入wserver.cer证书的命令
Keytool –import –trustcacerts –alias WebLogic –file ./wserver.cer –keypass 11111111 –keystore ./weblogic.jks –storepass 11111111
如下图:
此时根证书和服务器证书已经全部添加至weblogic.jks中。
5.5生成cacerts文件
●产生cacerts命令
Keytool –genkey –keystore “cacerts”–storepass 11111111 –keyalg RSA 如下图:
●添加根证书到cacerts中的命令
Keytool –import –alias rootca –trustcacerts –file ./wca.cer –keystore ./cacerts –storepass 11111111
如下图:
于是就得到了weblogic.jks 和cacerts两个文件!
6.配置Tomcat5.5的SSL通道
根据TOMCAT5.5的安装目录选择
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf目录下找到server.xml文件
修改<-- Define a SSL Coyote HTTP/1.1 Connector on port 8443 -->
<!--
<Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
-->
修改为<Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true"
keystoreFile="E:\bea\jdk142_08\bin\weblogic.jks" keystorePass="11111111"
keystoreType="JKS"
truststoreFile="E:\bea\jdk142_08\bin\cacerts"
truststorePass="11111111"
truststoreType="JKS"
clientAuth="true" sslProtocol="TLS" />
不需要客户端验证的时候,不需要
truststoreFile="E:\bea\jdk142_08\bin\cacerts"
truststorePass="11111111"
truststoreType="JKS"
且clientAuth=”false”
需要强制验证的时候clientAuth=”true”
需要验证客户端,但不需要强制的时候clientAuth=”want”
修改好后,重起服务器,运行https://本地IP/8443。