码迷,mamicode.com
首页 > 其他好文 > 详细

keytool生成证书与Tomcat SSL配置

时间:2014-09-16 12:54:30      阅读:178      评论:0      收藏:0      [点我收藏+]

标签:style   http   color   io   os   使用   java   ar   strong   

一、Keytool介绍 

Keytool是一个Java数据证书的管理工具。Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里,包含两种数据: 

1.   密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密) 

2.   可信任的证书实体(trusted certificate entries)——只包含公钥 

Alias(别名):每个keystore都关联这一个独一无二的alias,这个alias通常不区分大小写 

keystore的存储位置 

在没有制定生成位置的情况下,keystore会存在与用户的系统默认目录, 如:对于window xp系统,会生成在系统的C:/Documents and Settings/UserName/ 文件名为“.keystore” 

keystore的生成:keytool -genkey -alias tomcat -keyalg RSA   -keystore d:/mykeystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass -validity 36500 

参数说明: 

-genkey表示要创建一个新的密钥 
-dname表示密钥的Distinguished Names, 
CN=commonName 
OU=organizationUnit 
O=organizationName 
L=localityName 
S=stateName 
C=country 
Distinguished Names表明了密钥的发行者身份 
-keyalg使用加密的算法,这里是RSA 
-alias密钥的别名 
-keypass私有密钥的密码,这里设置为changeit 
-keystore 密钥保存在D:盘目录下的mykeystore文件中 
-storepass 存取密码,这里设置为changeit,这个密码提供系统从mykeystore文件中将信息取出 
-validity该密钥的有效期为 36500表示100年 (默认为90天) 

cacerts证书文件(The cacerts Certificates File) 

改证书文件存在于java.home/lib/security目录下,是Java系统的CA证书仓库 

二、准备工作 

1.   验证是否已创建过同名的证书 


Window : keytool -list -v -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit

Linux : keytool -list -v -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit 

2.   删除已创建的证书 

Window : keytool -delete -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit 

Linux : keytool -delete -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit 

三、创建证书 


1.   服务器中生成证书: 


(注:生成证书时,CN要和服务器的域名相同,如果在本地测试,则使用localhost) 

Window : keytool -genkey -alias tomcat -keyalg RSA -keystore d:/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit 

Linux : keytool -genkey -alias tomcat -keyalg RSA -keystore ~/my.keystore -dname "CN=localhost, OU=localhost, O=localhost, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit 

2.   导出证书,由客户端安装: 


window : keytool -export -alias tomcat -keystore d:/my.keystore -file d:/mycerts.cer -storepass changeit 

Linux : keytool -export -alias tomcat -keystore ~/my.keystore -file ~/mycerts.cer -storepass changeit 

3.   客户端配置:为客户端的JVM导入密钥(将服务器下发的证书导入到JVM中) 


window : keytool -import -trustcacerts -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -file d:/mycerts.cer -storepass changeit 

Linux : keytool -import -trustcacerts -alias tomcat -keystore "$JAVA_HOME/jre/lib/security/cacerts" -file ~/mycerts.cer -storepass changeit 

四、配置Tomcat SSL 


修改server.xml中的SSL服务 
Window : 
<Connector port="8443" maxHttpHeaderSize="8192" 
     maxThreads="150" minSpareThreads="25" maxSpareThreads="75" 
     enableLookups="false" disableUploadTimeout="true" 
     acceptCount="100" scheme="https" secure="true" 
     clientAuth="false" sslProtocol="TLS" keystoreFile="d:/my.keystore" keystorePass="changeit"/> 

Linux: 
<Connector port="8443" maxHttpHeaderSize="8192" 
     maxThreads="150" minSpareThreads="25" maxSpareThreads="75" 
     enableLookups="false" disableUploadTimeout="true" 
     acceptCount="100" scheme="https" secure="true" 
     clientAuth="false" sslProtocol="TLS" keystoreFile="~/my.keystore" keystorePass="changeit"/> 

五、常见问题 


1.   未找到可信任的证书 


主要原因为在客户端未将服务器下发的证书导入到JVM中,可以用 

keytool -list -alias tomcat -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit 

来查看证书是否真的导入到JVM中。 

2.   keytool错误:java.io.IOException:keystore was tampered with,or password was incorrect 


原因是在你的home目录下是否还有.keystore存在。如果存在那么把他删除掉,后再执行 

或者删除"%JAVA_HOME%/jre/lib/security/cacerts 再执行 

建议直接删掉cacerts再导入 

Tomcat配置https及访问http自动跳转至https 
完成上述操作就可以通过https://www.xxx.com:8443 或者 http://www.xxx.com:[port]访问网站; 
第二步:配置Tomcat 
  打开$CATALINA_HOME/conf/server.xml,修改如下: 

  <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" /> 
修改参数=> 
<Connector port="80" protocol="HTTP/1.1" connectionTimeout="20000"  redirectPort="443" /> 


<!-- 
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 
              maxThreads="150" scheme="https" secure="true" 
              clientAuth="false" sslProtocol="TLS"/> 
--> 
去掉注释且修改参数=> 
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" 
               maxThreads="150" scheme="https" secure="true" 
               clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat.keystore" keystorePass="changeit"/> 


<!-- 
   <Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" /> 
--> 
修改参数=> 
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" /> 

第三步:配置tomcat的web.xml在该文件末尾增加:强制https访问 
及输入http:// 自动跳转https:// 
配置如下: 
<login-config> 
     <!-- Authorization setting for SSL --> 
     <auth-method>CLIENT-CERT</auth-method> 
     <realm-name>Client Cert Users-only Area</realm-name> 
</login-config> 
<security-constraint> 
     <!-- Authorization setting for SSL --> 
     <web-resource-collection > 
     <web-resource-name >SSL</web-resource-name> 
     <url-pattern>/*</url-pattern> 
     </web-resource-collection> 
     <user-data-constraint> 
     <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
     </user-data-constraint> 
</security-constraint>

keytool生成证书与Tomcat SSL配置

标签:style   http   color   io   os   使用   java   ar   strong   

原文地址:http://my.oschina.net/cimu/blog/314023
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!