2. 程式人生 > >keytool--生成證書與Tomcat SSL配置

keytool--生成證書與Tomcat SSL配置

阿新 發佈:2019-02-15 
keytool -genkey -alias tomcat -keyalg RSA   -keystore d:/mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 36500

引數說明: 
-genkey表示要建立一個新的金鑰 
-dname表示金鑰的Distinguished Names, 
CN=commonName 
OU=organizationUnit 
O=organizationName 
L=localityName 

S=stateName 
C=country 
Distinguished Names表明了金鑰的發行者身份 
-keyalg使用加密的演算法,這裡是RSA 
-alias金鑰的別名 
-keypass私有金鑰的密碼,這裡設定為changeit 
-keystore 金鑰儲存在D:盤目錄下的mykeystore檔案中 
-storepass 存取密碼,這裡設定為changeit,這個密碼提供系統從mykeystore檔案中將資訊取出 
-validity該金鑰的有效期為 36500表示100年 (預設為90天) 

cacerts證書檔案(The cacerts Certificates File) 
改證書檔案存在於java.home/lib/security目錄下,是Java系統的CA證書倉庫 

二、準備工作 

1.   驗證是否已建立過同名的證書 

Window : keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit 
Linux : keytool -list -v -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit

2.   刪除已建立的證書 

Window : keytool -delete -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit  
Linux : keytool -delete -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit

三、建立證書 

1.   伺服器中生成證書:

(注:生成證書時,CN要和伺服器的域名相同,如果在本地測試,則使用localhost) 

Window : keytool -genkey -alias tomcat -keyalg RSA -keystore d:/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit  

Linux : keytool -genkey -alias tomcat -keyalg RSA -keystore ~/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit

2.   匯出證書,由客戶端安裝:

window : keytool -export -alias tomcat -keystore d:/my.keystore -file d:/mycerts.cer -storepass changeit  

Linux : keytool -export -alias tomcat -keystore ~/my.keystore -file ~/mycerts.cer -storepass changeit

3.   客戶端配置:為客戶端的JVM匯入金鑰(將伺服器下發的證書匯入到JVM中)

window : keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -file d:/mycerts.cer -storepass changeit  

Linux : keytool -import -trustcacerts -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -file ~/mycerts.cer -storepass changeit

四、配置Tomcat SSL 

修改server.xml中的SSL服務 
Window :  
<Connector port="8443" maxHttpHeaderSize="8192"  
     maxThreads="150" minSpareThreads="25" maxSpareThreads="75"  
     enableLookups="false" disableUploadTimeout="true"  
     acceptCount="100" scheme="https" secure="true"  
     clientAuth="false" sslProtocol="TLS" keystoreFile="d:/my.keystore" keystorePass="changeit"/>  

Linux:  
<Connector port="8443" maxHttpHeaderSize="8192"  
     maxThreads="150" minSpareThreads="25" maxSpareThreads="75"  
     enableLookups="false" disableUploadTimeout="true"  
     acceptCount="100" scheme="https" secure="true"  
     clientAuth="false" sslProtocol="TLS" keystoreFile="~/my.keystore" keystorePass="changeit"/>

五、常見問題 

1.   未找到可信任的證書 

主要原因為在客戶端未將伺服器下發的證書匯入到JVM中,可以用以下命令來檢視證書是否真的匯入到JVM中。 

keytool -list -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit

2.   keytool錯誤:java.io.IOException:keystore was tampered with,or password was incorrect 

原因是在你的home目錄下是否還有.keystore存在。如果存在那麼把他刪除掉,後再執行 
或者刪除"%JAVA_HOME%/jre/lib/security/cacerts 再執行 
建議直接刪掉cacerts再匯入 

Tomcat配置https及訪問http自動跳轉至https 
完成上述操作就可以通過https://www.xxx.com:8443 或者 http://www.xxx.com:[port]訪問網站; 
第二步:配置Tomcat 
開啟$CATALINA_HOME/conf/server.xml,修改如下:  
<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />  
修改成
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000"  redirectPort="443" />  
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
              maxThreads="150" scheme="https" secure="true"  
              clientAuth="false" sslProtocol="TLS"/>  
修改成 
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"  
               maxThreads="150" scheme="https" secure="true"  
               clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat.keystore" keystorePass="changeit"/>  
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" />  
修改成
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" />

第三步:配置tomcat的web.xml在該檔案末尾增加:強制https訪問 
及輸入http:// 自動跳轉https:// 
配置如下: 
<login-config>  
     <!-- Authorization setting for SSL -->  
     <auth-method>CLIENT-CERT</auth-method>  
     <realm-name>Client Cert Users-only Area</realm-name>  
</login-config>  
<security-constraint>  
     <!-- Authorization setting for SSL -->  
     <web-resource-collection >  
     <web-resource-name >SSL</web-resource-name>  
     <url-pattern>/*</url-pattern>  
     </web-resource-collection>  
     <user-data-constraint>  
     <transport-guarantee>CONFIDENTIAL</transport-guarantee>  
     </user-data-constraint>  
</security-constraint>


相關推薦

keytool--生成證書Tomcat SSL配置

keytool -genkey -alias tomcat -keyalg RSA -keystore d:/mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit

keytool生成證書tomcatSSL配置使用

存取 eal win sport 設置 在那 port adt hang 一、Keytool介紹 Keytool是一個Java數據證書的管理工具。Keytool將密鑰(key)和證書(certificates)存在一個稱為keystore的文件中在keystore裏,包含兩

tomcat7+jdk的keytool生成證書 配置https

目前只會使用jdk的keytool來生成證書。本文僅介紹這種方法。 1Windows下: 1.1 生成keystore檔案及匯出證書 開啟控制檯: 執行: %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg

Tomcat SSL配置Tomcat CA證書安裝

最近要做一個SSL的應用,用SSL進行雙向身份驗證意思就是在客戶機連線伺服器時,連結雙方都要對彼此的數字證書進行驗證,保證這是經過授權的才能夠連線。我們連結一般的SSL時採用的是單向驗證,客戶機只驗證伺服器的證書,伺服器不驗證客戶機的證書;而連線網上銀行時使用的U盾就是用來儲存進行雙向驗證所需要的客戶端證書

windows下的nginx安裝和配置tomcat關聯配置記錄

   1. 官方中文說明:http://wiki.nginx.org/NginxChs  或者http://nginx.org/ 下載:當前穩定版: Nginx 1.0.5 | Nginx/windows 1.0.5 (更新記錄) (2011年7月19日) 我們下

利用jdk中的keytool生成證書

利用jdk中的keytool生成證書。 最近搭建單點登入CAS伺服器,需要安全證書。 找到一個教程如下: 使用第一個命令:keytool -genkey -alias cas -keyalg RSA -validity 999 -keystore c:/etc/cas/the

springboot https keytool生成證書

http://www.mamicode.com/info-detail-2315445.html 本地訪問顯示不安全 瀏覽器訪問測試成功,但是因為是自己生產的證書,所以在chrome中顯示連線不安全。忽略即可。 https://blog.csdn.net/MasonQAQ/article

keytool生成證書 檢視證書資訊 ,以及java操作的簡單用例

首先用keytool生成證書1 產生金鑰D:/>keytool -genkey -alias wenger -keysize 1024 -keypass abcdef -keystore myKeystore -storepass abcdef -dname "CN=chen sr, OU=tangl

使用Java自帶的keytool生成證書

之前在看OAuth2的時候,看到可以用對稱加密,也可以用非對稱加密,非對稱加密這裡就用到了證書。發現可以直接用Java自帶的keytool來生成。 簡介 keytool是個金鑰和證書管理工具。它使使用者能夠管理自己的公鑰/私鑰對及相關證書,用於(通過數字簽名)自我認證(使用者向別

red5 tomcat整合配置 簡單入門例項

這裡不再介紹什麼是red5了,直接寫配置。 我用的是red5 0.8版,首先從網上下載兩個檔案:red5-war-0.8.0.zip 和 setup-Red5-0.8.0.exe,將red5-war-0.8.0.zip 解壓,得到root.war, 1.將root.war

上傳App到Store(二)生成證書真機測試

首先登入到蘋果開發者中心。 如果已經購買了99$, 登入進去,點選後會看到如下圖所示。 點選左側第二個按鈕,在開啟頁面中點選左側的Devices下的All選項: 1、點選左側導航的Device,進入授權裝置的頁面,點選右上方的Add Device按

JDK自帶工具keytool生成ssl證書(https自生成證書配置到jboss和tomcat中)

1:什麼是HTTPS? HTTPS其實是有兩部分組成:HTTP + SSL / TLS, 也就是在HTTP上又加了一層處理加密資訊的模組,並且會進行身份的驗證。 問題: Firebug和postman之類的瀏覽器除錯工具,為什麼獲取到的是明文? 解答: SSL

tomcat配置https自簽名證書keytool生成

pri list tin led str orm unit lock pass tomcat配置https自簽名證書(keytool生成) 生成keystore keytool -genkeypair -alias "server" -keyalg &

JDK自帶keytool生成SSL證書,搭建tomcat+https協議

1、生成伺服器證書:CMD進入JDK安裝目錄:cd c:/"Program Files"/java/jdk1.6.0_43/bin。輸入命令:keytool -genkey -v -alias tomcat -keyalg RSA -keystore F:/ssl/tomca

使用keytool生成ssl證書

display tail ken -s spa alt lan text nbsp 使用keytool生成ssl證書     在項目中由於要使用https訪問項目,然後了解到jdk有一個自帶的工具keytool可以用來生成ssl證書,從而可以通過https進行訪問。    

利用JDK自帶的keytool生成SSL證書然後導入到SpringBoot

生成 密鑰 clas alias 自帶 就會 輸入 http -type 一:生成命令如下(這一步生成的暫不知道幹嘛用的) E:\Desktop\Documents\證書>keytool -genkey -alias tomcat -keypass 123456

靈活多變的keytool和openssl生成證書,應用tomcat和nginx

靈活多變的keytool和openssl生成證書,應用tomcat和nginx 文章目錄 前言 什麼是證書?為什麼要使用證書? 證書格式轉換 證書格式 keytool是什麼? 主要格式 test.

windows下tomcat生成證書配置https

windows下tomcat生成證書配置https 1.1 生成keystore檔案及匯出證書           開啟cmd 輸入keytool -genkey -alias tomcat -keyalg RSA密碼可以隨便輸入

JDK自帶工具keytool生成ssl證書

前言: 因為公司專案客戶要求使用HTTPS的方式來保證資料的安全,所以木有辦法研究了下怎麼生成ssl證書來使用https以保證資料安全。 百度了不少資料,看到JAVA的JDK自帶生成SSL證書的工具:keytool,外加看了同事的心得體會,自己總結了一下具體的使用方法

JDK自帶工具keytool生成ssl證書 此計算機上的防火牆阻止了遠端除錯

@參考文章 keytool -genkey -alias tomcat -keypass zhangyanan -keyalg RSA -keysize 1024 -validity 3 -keystore E:/tomcat.keystore -storepass zhangyanan 然後一