Tomcat服務(wù)器配置https認(rèn)證(使用keytool生成證書(shū))
目錄
- 一、證書(shū)生成
- 二、證書(shū)使用
一、證書(shū)生成
1 、生成服務(wù)器證書(shū)
(1)打開(kāi)打開(kāi)命令控制臺(tái),進(jìn)入jdk的bin目錄
(2)keytool為T(mén)omcat生成證書(shū)(“-validity 36500”證書(shū)有效期,36500表示100年,默認(rèn)值是90天)
keytool -genkey -v -alias tomcat -keyalg RSA -keystore C:\MyFile\work_tools\apache-tomcat-8.5.55\apache-tomcat-8.5.55\tomcat.keystore -validity 36500
注意:名字與姓氏,unknown:填的東西可能和tomcat啟動(dòng)時(shí)訪問(wèn)的域名有關(guān)系,
2 、生成客戶端證書(shū)
keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore C:\MyFile\work_tools\apache-tomcat-8.5.55\apache-tomcat-8.5.55\mykey.p12
3 、 讓服務(wù)器信任客戶端證書(shū)
(1)由于不能直接將PKCS12格式的證書(shū)庫(kù)導(dǎo)入,必須先把客戶端證書(shū)導(dǎo)出為一個(gè)單獨(dú)的CER文件,使用如下命令:
keytool -export -alias mykey -keystore C:\MyFile\work_tools\apache-tomcat-8.5.55\apache-tomcat-8.5.55\mykey.p12 -storetype PKCS12 -storepass 111111 -rfc -file C:\MyFile\work_tools\apache-tomcat-8.5.55\apache-tomcat-8.5.55\mykey.cer
(2)將該文件導(dǎo)入到服務(wù)器的證書(shū)庫(kù),添加為一個(gè)信任證書(shū)使用命令如下:
keytool -import -v -file C:\MyFile\work_tools\apache-tomcat-8.5.55\apache-tomcat-8.5.55\mykey.cer –keystore C:\MyFile\work_tools\apache-tomcat-8.5.55\apache-tomcat-8.5.55\tomcat.keystore
(3)通過(guò) list 命令查看服務(wù)器的證書(shū)庫(kù),可以看到兩個(gè)證書(shū),一個(gè)是服務(wù)器證書(shū),一個(gè)是受信任的客戶端證書(shū):
keytool -list -keystore C:\MyFile\work_tools\apache-tomcat-8.5.55\apache-tomcat-8.5.55\tomcat.keystore
4 、讓客戶端信任服務(wù)器證書(shū)
把服務(wù)器證書(shū)導(dǎo)出為一個(gè)單獨(dú)的CER文件提供給客戶端,使用如下命令:
keytool -keystore C:\MyFile\work_tools\apache-tomcat-8.5.55\apache-tomcat-8.5.55\tomcat.keystore -export -alias tomcat -file C:\MyFile\work_tools\apache-tomcat-8.5.55\apache-tomcat-8.5.55\tomcat.cer
5 、 經(jīng)過(guò)上面操作,生成如下證書(shū):
其中 tomcat.cer 提供給客戶端,tomcat.keystore供服務(wù)器使用
二、證書(shū)使用
1 、 服務(wù)器tomcat的配置
(1)打開(kāi)Tomcat根目錄下的/conf/server.xml,找到Connector port="8443"配置段,修改為如下:
注釋掉
(2)測(cè)試服務(wù)端,IE瀏覽器輸入訪問(wèn)地址
但由于是自簽名的證書(shū),所以瀏覽器會(huì)警告我們不安全,選擇繼續(xù):
可以看到能成功訪問(wèn)了(地址欄“證書(shū)錯(cuò)誤”,此時(shí)數(shù)據(jù)已經(jīng)是使用HTTPS傳輸了)
2 、 導(dǎo)入服務(wù)器公鑰證書(shū)(tomcat.cer)
由于是自簽名的證書(shū),為避免每次都提示不安全。這里雙擊tomcat.cer安裝服務(wù)器證書(shū)。
注意:將證書(shū)填入到“受信任的根證書(shū)頒發(fā)機(jī)構(gòu)”
再次重新訪問(wèn)服務(wù)器,會(huì)發(fā)現(xiàn)沒(méi)有不安全的提示了,同時(shí)瀏覽器地址欄上也有個(gè)“鎖”圖標(biāo)。
至此,就完成了配置。
注:由于jdk自帶的keytool生成的簽名屬于弱簽名算法(SHA-1),但是,SHA-1已經(jīng)過(guò)時(shí)因而不再推薦使用。新證書(shū)使用了更強(qiáng)的簽名算法(比如SHA-256)。SHA-1的證書(shū)將從2017開(kāi)始不再被主流瀏覽器廠商視為安全的。
最后: 通過(guò)cmd,將簽名文件從**【***.keystore】文件轉(zhuǎn)換成【***.p12】的文件,再轉(zhuǎn)換成【*.jks】:
先將路勁切換至jre下的bin文件夾下,再通過(guò)命令查詢,命令如下:
keytool -importkeystore -srckeystore 【絕對(duì)路徑+*.keystore】 -srcstoretype JKS -deststoretype PKCS12 -destkeystore 【*.p12】
keytool -v -importkeystore -srckeystore 【絕對(duì)路徑+*.p12】 -srcstoretype PKCS12 -destkeystore 【絕對(duì)路徑+*.jks】 -deststoretype JKS
p12 證書(shū)提取pem證書(shū)和私鑰
openssl pkcs12 -in server.p12 -clcerts -nokeys -password pass:111111 -out server.crtopenssl pkcs12 -in server.p12 -nocerts -password pass:111111 -passout pass:111111 -out server.key
penssl pkcs12 -in server.p12 -nocerts -password pass:111111 -passout pass:111111 -out server.key
到此這篇關(guān)于Tomcat服務(wù)器配置https認(rèn)證(使用keytool生成證書(shū))的文章就介紹到這了,更多相關(guān)Tomcat配置https認(rèn)證內(nèi)容請(qǐng)搜索以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持!
網(wǎng)公網(wǎng)安備