当前位置: 技术问答>java相关
Tomcat中SSL的配置和原理!(200)
来源: 互联网 发布时间:2017-03-13
本文导语: 看了jakarta上的电子稳当,但是对与那些步骤不是很理解,希望大虾能给具体讲解一下。200分相送,500分也成! | 首先你建议你使用jdk1.4,它自带jsse . 另外你需要openssl,用来产生CA证书、签名并...
看了jakarta上的电子稳当,但是对与那些步骤不是很理解,希望大虾能给具体讲解一下。200分相送,500分也成!
|
首先你建议你使用jdk1.4,它自带jsse .
另外你需要openssl,用来产生CA证书、签名并生成IE可导入的私钥。可以到http://www.openssl.org下载。
下面的节选自IBM : developerWorks 中国网站 《配置Tomcat 4使用SSL》赵 梁 (b-i-d@163.com),并略作修改。
4.2 建立自己的CA
4.2.1 建立工作目录
mkdir ca
4.2.2 生成CA私钥以及自签名根证书
4.2.2.1 生成CA私钥
openssl genrsa -out caca-key.pem 1024
4.2.2.2 生成待签名证书
openssl req -new -out caca-req.csr -key caca-key.pem
4.2.2.3 用CA私钥进行自签名
openssl x509 -req -in caca-req.csr -out caca-cert.pem -signkey caca-key.pem -days 365
4.3 设置Tomcat 4.x
在本文中用符号"%JDK_HOME%"来表示JDK的安装位置,用符号"%TCAT_HOME%" 表示Tomcat的安装位置。
4.3.1建立工作目录
mkdir server
4.3.2 生成server端证书
4.3.2.1 生成KeyPair
%JDK_HOME%binkeytool -genkey -alias tomcat_server -validity 365 -keyalg RSA -keysize 1024 -keypass changeit -storepass changeit -dname "cn=localhost, ou=department, o=company, l=Beijing, st=Beijing, c=CN" -keystore serverserver_keystore
4.3.2.2 生成待签名证书
%JDK_HOME%binkeytool -certreq -alias tomcat_server -sigalg MD5withRSA -file serverserver.csr -keypass changeit -keystore serverserver_keystore -storepass changeit
4.3.2.3 用CA私钥进行签名
openssl x509 -req -in serverserver.csr -out serverserver-cert.pem -CA caca-cert.pem -CAkey caca-key.pem -days 365
4.3.2.4 导入信任的CA根证书到JSSE的默认位置(%JDK_ROOT %/jre/security/cacerts)
%JDK_HOME%binkeytool -import -v -trustcacerts -storepass changeit -alias my_ca_root -file caca-cert.pem -keystore %JDK_HOME%jrelibsecuritycacerts
4.3.2.5 把CA签名后的server端证书导入keystore
%JDK_HOME%binkeytool -import -v -trustcacerts -storepass changeit -alias tomcat_server -file serverserver-cert.pem -keystore serverserver_keystore
4.3.2.6 查看server端证书
keytool -list -keystore %JDK_HOME%jrelibsecuritycacerts
keytool -list -keystore serverserver_keystore
4.3.3 修改server.xml使Tomcat支持SSL
首先找到以下内容,去掉对其的注释。然后参照红色部分修改。如果配置Tomcat不验证客户身份,可以设置clientAuth="false"。
然后把文件serverserver_keystore复制到目录%TCAT_HOME%conf下。
4.4 Client端安装信任的根证书
把caca-cert.pem改名为caca-key.cer,在client端的IE中使用"工具 ' Internet选项 ' 内容 ' 证书 ' 导入"把我们生成的CA根证书导入,使其成为用户信任的CA。
4.5 用IE浏览器使用SSL协议访问Tomcat
4.5.1 启动Tomcat 4.x
执行%TCAT_HOME%binstartup.bat启动Tomcat 4.x
4.5.2 用IE访问Tomcat 4.x
在IE浏览器的地址栏中输入https://localhost:8443,如果前面的操作都正确的话,应该可以看到Tomcat的欢迎页面。同时状态栏上的小锁处于闭合状态,表示您已经成功地与服务器建立了要求客户端验证的SSL安全连接。
另外你需要openssl,用来产生CA证书、签名并生成IE可导入的私钥。可以到http://www.openssl.org下载。
下面的节选自IBM : developerWorks 中国网站 《配置Tomcat 4使用SSL》赵 梁 (b-i-d@163.com),并略作修改。
4.2 建立自己的CA
4.2.1 建立工作目录
mkdir ca
4.2.2 生成CA私钥以及自签名根证书
4.2.2.1 生成CA私钥
openssl genrsa -out caca-key.pem 1024
4.2.2.2 生成待签名证书
openssl req -new -out caca-req.csr -key caca-key.pem
4.2.2.3 用CA私钥进行自签名
openssl x509 -req -in caca-req.csr -out caca-cert.pem -signkey caca-key.pem -days 365
4.3 设置Tomcat 4.x
在本文中用符号"%JDK_HOME%"来表示JDK的安装位置,用符号"%TCAT_HOME%" 表示Tomcat的安装位置。
4.3.1建立工作目录
mkdir server
4.3.2 生成server端证书
4.3.2.1 生成KeyPair
%JDK_HOME%binkeytool -genkey -alias tomcat_server -validity 365 -keyalg RSA -keysize 1024 -keypass changeit -storepass changeit -dname "cn=localhost, ou=department, o=company, l=Beijing, st=Beijing, c=CN" -keystore serverserver_keystore
4.3.2.2 生成待签名证书
%JDK_HOME%binkeytool -certreq -alias tomcat_server -sigalg MD5withRSA -file serverserver.csr -keypass changeit -keystore serverserver_keystore -storepass changeit
4.3.2.3 用CA私钥进行签名
openssl x509 -req -in serverserver.csr -out serverserver-cert.pem -CA caca-cert.pem -CAkey caca-key.pem -days 365
4.3.2.4 导入信任的CA根证书到JSSE的默认位置(%JDK_ROOT %/jre/security/cacerts)
%JDK_HOME%binkeytool -import -v -trustcacerts -storepass changeit -alias my_ca_root -file caca-cert.pem -keystore %JDK_HOME%jrelibsecuritycacerts
4.3.2.5 把CA签名后的server端证书导入keystore
%JDK_HOME%binkeytool -import -v -trustcacerts -storepass changeit -alias tomcat_server -file serverserver-cert.pem -keystore serverserver_keystore
4.3.2.6 查看server端证书
keytool -list -keystore %JDK_HOME%jrelibsecuritycacerts
keytool -list -keystore serverserver_keystore
4.3.3 修改server.xml使Tomcat支持SSL
首先找到以下内容,去掉对其的注释。然后参照红色部分修改。如果配置Tomcat不验证客户身份,可以设置clientAuth="false"。
然后把文件serverserver_keystore复制到目录%TCAT_HOME%conf下。
4.4 Client端安装信任的根证书
把caca-cert.pem改名为caca-key.cer,在client端的IE中使用"工具 ' Internet选项 ' 内容 ' 证书 ' 导入"把我们生成的CA根证书导入,使其成为用户信任的CA。
4.5 用IE浏览器使用SSL协议访问Tomcat
4.5.1 启动Tomcat 4.x
执行%TCAT_HOME%binstartup.bat启动Tomcat 4.x
4.5.2 用IE访问Tomcat 4.x
在IE浏览器的地址栏中输入https://localhost:8443,如果前面的操作都正确的话,应该可以看到Tomcat的欢迎页面。同时状态栏上的小锁处于闭合状态,表示您已经成功地与服务器建立了要求客户端验证的SSL安全连接。
|
up
|
有深度
|
在研究中。。。。