Tomcat7配置雙向SSL

2021-08-26 14:06:06 字數 2425 閱讀 5272

根證書

1.建立ca工作目錄

mkdir ca

cd ca

2.生成ca私鑰

openssl genrsa -out ca-key.pem 1024

3.生成待簽名證書

openssl req -new -out ca-req.csr -key ca-key.pem

即為ca根證書,可將其下發到客戶端,匯入作為根證書。私鑰changeit

4.用ca私鑰自簽名

openssl x509 -req -in ca-req.csr -out ca-cert.pem -signkey ca-key.pem -days 365

5.匯出pk12

openssl pkcs12 -export -clcerts -in ca-cert.pem -inkey ca-key.pem -out ca-cert.p12

檢視證書

openssl x509 -in ca-cert.pem -noout -text -modulus

如果按請求生成ca證書,由證書申請者生成請求檔案certreq.txt。ca端執行簽名,生成證書檔案1.cer

openssl x509 -req -in c:\certreq.txt -out c:\1.cer -ca ca\ca-cert.pem -cakey ca\ca-key.pem -days 365 -cacreateserial

生成server證書

1.建立私鑰

openssl genrsa -out server-key.pem 1024

2.建立證書請求

openssl req -new -out server-req.csr -key server-key.pem

3.自簽署證書

openssl x509 -req -in server-req.csr -out server-cert.pem -signkey server-key.pem -ca ../ca/ca-cert.pem -cakey ../ca/ca-key.pem -cacreateserial -days 365

4.將證書匯出成瀏覽器支援的.p12格式,密碼changeit

openssl pkcs12 -export -clcerts -in server-cert.pem -inkey server-key.pem -out server.p12

keytool -keystore serverstore.jks -keypass 123456 -storepass 123456 -alias ca -import -trustcacerts -file ~/ca/ca-cert.pem

keytool -keystore serverstore.jks -keypass 123456 -storepass 123456 -alias server -import -trustcacerts -file ~/server/server-cert.pem

生成client證書

1.建立私鑰 :

openssl genrsa -out client-key.pem 1024

2.建立證書請求 :

openssl req -new -out client-req.csr -key client-key.pem

3.自簽署證書 :

openssl x509 -req -in client-req.csr -out client-cert.pem -signkey client-key.pem -ca ../ca/ca-cert.pem -cakey ../ca/ca-key.pem -cacreateserial -days 36

openssl x509 -in client-cert.pem -noout -text -modulus

4.將證書匯出成瀏覽器支援的.p12格式 :

openssl pkcs12 -export -clcerts -in client-cert.pem -inkey client-key.pem -out client.p12

密碼:changeit

根據ca證書生成jks檔案

keytool -keystore truststore.jks -keypass 123456 -storepass 123456 -alias ca -import -trustcacerts -file ~/ca/ca-cert.pem

匯入證書

在客戶端瀏覽器匯入ca-cert.p12作為受信任的根證書,client.p12作為個人證書

tomcat配置

server.xml

jsse模式

apr模式

注意事項

ie8支援sslv3,tls, 不支援sslv2

參考apache tomcat doc

support

雙向ssl-apr

雙向ssl-jsse

openssl

Tomcat6和Tomcat7配置SSL通訊的比較

在專案開發過程中,嚐嚐會遇到tomcat需要ssl通訊的需求。尤其是在需要安全web應用時,需要https協議的通訊。由於tomcat預設情況下沒有提供ssl通訊設定,因此必須明白如何在tomcat下配置ssl。更糟糕的是,tomcat的不同版本,其ssl配置有所不同。所以,本文將講述如何在tomc...

Tomcat 配置雙向SSL

根證書 1.建立ca工作目錄 mkdir ca cd ca 2.生成ca私鑰 openssl genrsa out ca key.pem 1024 3.生成待簽名證書 openssl req new out ca req.csr key ca key.pem 即為ca根證書,可將其下發到客戶端,匯入...

tomcat配置ssl雙向認證

接上篇tomcat ssl單向認證 url 本文在單向認證的基礎上完成雙向認證配置。1 使用以下命令生成客戶端證書,並將此證書安裝到客戶端 此證書請安裝到個人目錄下 keytool genkey v alias client1 keyalg rsa storetype pkcs12 keysize ...