Tomcat配置SSL連線

2022-05-19 01:10:10 字數 2215 閱讀 6317

1.伺服器端單項認證

在tomcat的server.xml檔案中,已經提供了現成的配置ssl聯結器的**,只要把元素的注釋去掉即可:

實際上,基於ssl的https使用的預設埠是443。但tomcat在這裡將https埠設定為8443。配置裡的一些屬性引數如下表:

clientauth如果設為true(即雙向認證)

keystorefile指定keystore檔案的存放位置

keystorepass指定keystore的密碼

2.伺服器和客戶端雙向認證

server需要:

1)keystore: 其中儲存服務端的私鑰

2)trust keystore:其中儲存客戶端的授權證書

同樣,client需要:

1)keystore:其中儲存客戶端的私鑰

2)trust keystore:其中儲存服務端的授權證書

生成key和證書

1)生成服務端私鑰,並且匯入到服務端keystore檔案中

keytool -genkey -alias serverkey -keystore serverkey.keystore

2)根據私鑰,匯出服務端證書

keytool -export -alias serverkey -keystore serverkey.keystore -file server.crt

server.crt就是服務端的證書

3)將服務端證書,匯入到客戶端的trust keystore中

keytool -import -alias serverkey -file server.crt -keystore servercrt.keystore

tclient.keystore是給客戶端用的,其中儲存著受信任的證書

採用同樣的方法,生成客戶端的私鑰,客戶端的證書,並且匯入到服務端的trust keystore中

1)keytool -genkey -alias clientkey -keystore clientkey.keystore

2)keytool -export -alias clientkey -keystore clientkey.keystore -file client.crt

3)keytool -import -alias clientkey -file client.crt -keystore clientcrt.keystore

如此一來,生成的檔案分成兩組

服務端儲存:serverkey.keystore clientcrt.keystore

客戶端儲存:clientkey.keystore servercrt.kyestore

client採用clientkey.keystore中的clientkey私鑰進行資料加密,傳送給server

server採用clientcrt.keystore中的client.crt證書(包含了clientkey的公鑰)對資料解密,如果解密成功,證明訊息來自client,進行邏輯處理

server採用serverkey.keystore中的serverkey私鑰進行資料叫公尺,傳送給client

client採用servercrt.kyestore中的server.crt證書(包含了serverkey的公鑰)對資料解密,如果解密成功,證明訊息來自server,進行邏輯處理

如果過程中,解密失敗,那麼證明****錯誤。不進行邏輯處理。這樣就完成了雙向的身份認證。

tomcat配置:

keystorefile="f:/serverkey.keystore" keystorepass="123456" keystoretype="jks" 

truststorefile="f:/clientcrt.keystore" truststorepass="123456" truststoretype="jks"

truststorefile指定truststore(受信任的客戶端證書庫)檔案的存放位置

truststorepass指定truststore(受信任的客戶端證書庫)的密碼

對單個web專案使用預設ssl安全訪問

要使你自己的web程式應用ssl安全訪問,請遵循如下配置

client-cert

client cert users-only area

ssl/*

confidential

你會發現,即使使用 http://....:8080 來訪問你的應用程式,它也會重定向為 https://....8443 訪問,也就是說,你的應用已經強制使用ssl安全訪問層。

tomcat實現SSL配置

開啟server.xml檔案,開啟define a ssl http 1.1 connector on port 8443,刪除登出資訊。修改節點 具體如下 keystorefile的路徑是tomcat的安裝路徑下的tomcat.keystore 使用keytool生成的證書庫檔案 keytool ...

Tomcat 配置雙向SSL

根證書 1.建立ca工作目錄 mkdir ca cd ca 2.生成ca私鑰 openssl genrsa out ca key.pem 1024 3.生成待簽名證書 openssl req new out ca req.csr key ca key.pem 即為ca根證書,可將其下發到客戶端,匯入...

Tomcat 簡單配置 SSL

1.生成 server key 以命令列方式切換到目錄 tomcat home 在command命令列輸入如下命令 jdk1.4 以上帶的工具 keytool genkey alias tomcat keyalg rsa keypass changeit storepass changeit key...