TOMCAT SSL雙向認證 配置例項

2021-06-07 03:23:43 字數 2765 閱讀 8307

**:

ssl (secure socket layer - 安全套接字層)

功能:保障在internet上資料傳輸之安全,利用資料加密(encryption)技術,確保資料在網路上之傳輸過程中不會被擷取及竊聽,防止篡改。

如何讓我們的web應用程式應用ssl安全保障?經過幾天摸索,終於實現 tomcat+ssl 雙向認證,也就是說,首先,客戶端將要認證伺服器的安全性,確保訪問的是正確的伺服器,而非假冒的釣魚**;其次,伺服器也要認證客戶端的安全性,只有那些擁有伺服器授權證書的客戶端才可以訪問。

下面請遵循詳細步驟

1.       在d盤建立目錄:mykeys

2.       啟動命令列,並轉移到 d:/mykeys

a)         建立伺服器金鑰,其金鑰庫為 d:/mykeys/server.ks,注意keypass和storepass保持一致,它們分別代表 金鑰密碼和金鑰庫密碼,注意 cn=localhost 中,localhost表示要配置ssl的主機名,不能任意指定

d:/mykeys>keytool -genkey -v -alias serverkey -dname "cn=localhost" -keyalg rsa -keypass rwm258 -keystore server.ks -storepass rwm258

b)        建立客戶端金鑰,其金鑰庫為 d:/mykeys/client.p12,注意這個金鑰庫的字尾名,注意金鑰庫型別pkcs12

d:/mykeys>keytool -genkey -v -alias clientkey -dname "cn=someone" -keyalg rsa -keypass lyl147 -keystore client.p12 -storepass lyl147 -storetype pkcs12

c)        將客戶端金鑰匯出為證書檔案

d:/mykeys>keytool -export -alias clientkey -file clientkey.cer -keystore client.p12 -storepass lyl147 -storetype pkcs12

d)        將上述客戶端金鑰檔案匯入伺服器證書庫,並設定為信任證書;注意會問你是否信任該證書,回答 y 即可

d:/mykeys>keytool -import -v -alias clientkey -file clientkey.cer -keystore server.ks -storepass rwm258

3.       為了在本機瀏覽器中進行ssl訪問,請:雙擊 d:/mykeys/client.p12 ,將啟動證書嚮導

a)         第2步:要匯入的檔案 檔名  d:/mykeys/client.p12

b)        第3步:為私鑰鍵入密碼lyl147 ,勾選:標誌此金鑰為可匯出的

c)        第4步:證書儲存,選:將所有的證書放入下列儲存區,然後,瀏覽-個人

d)        現在,開啟ie,檢視證書:工具-internet選項-內容-證書-個人,可以看到 someone 證書已被安裝

4.       配置tomcat伺服器,以支援ssl認證,編輯檔案:%tomcat_home%/conf/server.xml,下面這段配置**本來是被遮蔽的,現在請取消其遮蔽,並相應增加金鑰庫的配置,其中clientauth="true" 用以啟動雙向認證,否則,只有客戶端認證伺服器-單向

5.       啟動 tomcat,然後在ie瀏覽器中訪問:https://localhost:8443/

a)         將彈出乙個訊息框,這是要客戶端認證伺服器,檢視證書可看到伺服器證書為 localhost ,回顧前面的步驟,正是我們建立的那個伺服器證書;這裡點 是

b)        頁面出現,說明客戶端被允許訪問

6.       現在,再次開啟ie,工具-internet選項-內容-證書-個人 ,刪除那個 someone 證書

a)         現在,再次在ie瀏覽器中訪問:https://localhost:8443/ 你會發現,回顧前面的 3 步驟,你會明白為什麼要將客戶端證書匯入 ie 瀏覽器;

7.       請再次重複 3 步驟,之後再嘗試訪問

ok,至此,我們在本機上ssl雙向配置已經成功,那麼,換另一台電腦來訪問本機伺服器如何處理呢?很簡單,把 d:/mykeys/client.p12 複製到該機器,然後執行 3 步驟,將這個證書匯入到該機器的 ie 瀏覽器個人證書中,記得密碼是:lyl147;當然,在那台電腦上訪問時,要將localhost修改為本機主機名或ip位址

要使你自己的web程式應用ssl安全訪問,請遵循如下配置

client-cert

client cert users-only area

ssl/*

confidential

你會發現,即使使用 http://....:8080 來訪問你的應用程式,它也會重定向為 https://....8443 訪問,也就是說,你的應用已經強制使用ssl安全訪問層

ok,現在,充分享受 ssl 安全訪問服務吧

此外,你還可以在你的程式中驗證客戶證書,實現客戶端證書登入,具體這裡不談了,下次給出完整程式

配置Tomcat SSL認證

1.執行下面批處理檔案.set server dn cn localhost,ou a,o b,l c,s guangdong,c cn set client dn cn client,ou a,o b,l c,s guangdong,c cn set ks pass storepass abc s...

tomcat配置ssl雙向認證

接上篇tomcat ssl單向認證 url 本文在單向認證的基礎上完成雙向認證配置。1 使用以下命令生成客戶端證書,並將此證書安裝到客戶端 此證書請安裝到個人目錄下 keytool genkey v alias client1 keyalg rsa storetype pkcs12 keysize ...

Java配置SSL雙向認證

首先,需求是編寫後台介面,供移動端呼叫,並實現雙向認證。由於沒有頁面,無需花錢申請證書。用自己生成的證書進行自認證。證書不是非要在執行的伺服器上生成,隨便一台機器都可以,建立證書有多種方式,例如openssl和jdk自帶的keytool。這裡使用keytool。keytool 一 生成伺服器端金鑰庫...