keytool+tomcat配置HTTPS双向证书认证
来源:互联网 发布:凯洛伦的十字光剑淘宝 编辑:程序博客网 时间:2024/05/07 19:50
本文参照了网上的一些资料,并根据自己的实际配置情况总结如下:
测试环境:
JDK 1.8.0_60
Tomcat 8.0.30
Firefox 43.0.1
Windows 10.0.10586
第零步:确保JDK环境变量配置正确,Tomcat可用后,打开cmd,定位到你要生成keystore的路径(以d盘根目录为例)
第一步:为服务器生成证书
使用keytool为Tomcat生成证书,以“localhost”为例,即keystore文件存放在“D:\server.keystore”,口令为“PASSWORD”,有两种方式可以实现:
方法一:
keytool -genkey -v -alias Server -keyalg RSA -keystore server.keystore
D:\>keytool -genkey -v -alias Server -keyalg RSA -keystore server.keystore
输入密钥库口令:PASSWORD(实际控制台是不可见的)
再次输入新口令:PASSWORD(实际控制台是不可见的)
您的名字与姓氏是什么?
[Unknown]: localhost
您的组织单位名称是什么?
[Unknown]: ryan
您的组织名称是什么?
[Unknown]: ryan
您所在的城市或区域名称是什么?
[Unknown]: cq
您所在的省/市/自治区名称是什么?
[Unknown]: cq
该单位的双字母国家/地区代码是什么?
[Unknown]: cn
CN=localhost, OU=ryan, O=ryan, L=cq, ST=cq, C=cn是否正确?
[否]: y
正在为以下对象生成 2,048 位RSA密钥对和自签名证书 (SHA256withRSA) (有效期为 90 天):
CN=localhost, OU=ryan, O=ryan, L=cq, ST=cq, C=cn
输入 <Server> 的密钥口令
(如果和密钥库口令相同, 按回车):(直接回车)
[正在存储server.keystore]
方法二:
keytool -genkey -keystore server.keystore -alias Server -storepass PASSWORD -keyalg RSA如果Tomcat所在服务器的域名不是“localhost”,应改为对应的域名,如“www.sina.com.cn”,否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。
在本地做开发测试时,应填入“localhost”
控制台全屏复制如下:
D:\>keytool -genkey -keystore server.keystore -alias Server -storepass PASSWORD -keyalg RSA您的名字与姓氏是什么?
[Unknown]: localhost ---- 这里必须与与域名相同(如果Tomcat所在服务器的域名不是“localhost”,应改为对应的域名,如“www.sina.com.cn”)
您的组织单位名称是什么?
[Unknown]: ryan
您的组织名称是什么?
[Unknown]: ryan
您所在的城市或区域名称是什么?
[Unknown]: cq
您所在的省/市/自治区名称是什么?
[Unknown]: cq
该单位的双字母国家/地区代码是什么?
[Unknown]: cn
CN=localhost, OU=ryan, O=ryan, L=cq, ST=cq, C=cn是否正确?
[否]: y
输入 <Server> 的密钥口令
(如果和密钥库口令相同, 按回车):(直接回车)
第二步:为客户端生成证书
keytool -genkey -keystore cert.p12 -alias iekey -storepass PASSWORD -keyalg RSA -storetype PKCS12
控制台全屏复制如下:
D:\>keytool -genkey -keystore cert.p12 -alias iekey -storepass PASSWORD -keyalg RSA -storetype PKCS12您的名字与姓氏是什么?
[Unknown]: myCert
您的组织单位名称是什么?
[Unknown]: ryan
您的组织名称是什么?
[Unknown]: ryan
您所在的城市或区域名称是什么?
[Unknown]: cq
您所在的省/市/自治区名称是什么?
[Unknown]: cq
该单位的双字母国家/地区代码是什么?
[Unknown]: cn
CN=myCert, OU=ryan, O=ryan, L=cq, ST=cq, C=cn是否正确?
[否]: y
对应的证书库存放在“D:/cert.p12”,客户端的CN可以是任意值。稍候,我们将把这个“my.p12”证书库导入到IE和Firefox中。
第三步:让服务器信任客户端证书
由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件,使用如下命令:
keytool -export -file cert.cer -keystore cert.p12 -alias iekey -storepass PASSWORD -storetype PKCS12 -rfc
keytool -import -v -file cert.cer -keystore server.keystore
通过list命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书:
keytool -list -keystore server.keystore
第四步:配置Tomcat服务器
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="D:/Tomcat 6.0/SSLkey/server.keystore" keystorePass="PASSWORD"
truststoreFile="D:/Tomcat 6.0/SSLkey/server.keystore" truststorePass="PASSWORD"
/>
第五步:导入客户端证书
p12 证书直接双击然后按提示下一步就可导入。
配置中我遇到的问题:
按常规配置方式 在 server.xml里添加如下 配置 :
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="conf/cnzz.freeca.cn.jks" keystorePass="123"
clientAuth="false" sslProtocol="TLS" />
启动 Tomcat ,会发现443端口无法正式启动下面是启动日志:
2011-12-29 10:10:50 org.apache.catalina.core.AprLifecycleListener init
信息: Loaded APR based Apache Tomcat Native library 1.1.20.
2011-12-29 10:10:50 org.apache.catalina.core.AprLifecycleListener init
信息: APR capabilities: IPv6 [true], sendfile [true], accept filters [false], random [true].
2011-12-29 10:10:52 org.apache.coyote.AbstractProtocol init
信息: Initializing ProtocolHandler ["http-apr-80"]
2011-12-29 10:10:52 org.apache.coyote.AbstractProtocol init
信息: Initializing ProtocolHandler ["ajp-apr-8009"]
2011-12-29 10:10:52 org.apache.coyote.AbstractProtocol init
信息: Initializing ProtocolHandler ["http-apr-443"]
2011-12-29 10:10:52 org.apache.coyote.AbstractProtocol init
严重: Failed to initialize end point associated with ProtocolHandler ["http-apr-443"]
java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL with APR
at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:469)
at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:490)
at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:364)
at org.apache.catalina.connector.Connector.initInternal(Connector.java:910)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:101)
at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:101)
at org.apache.catalina.core.StandardServer.initInternal(StandardServer.java:781)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:101)
at org.apache.catalina.startup.Catalina.load(Catalina.java:572)
at org.apache.catalina.startup.Catalina.load(Catalina.java:595)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
at java.lang.reflect.Method.invoke(Unknown Source)
at org.apache.catalina.startup.Bootstrap.load(Bootstrap.java:262)
at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:430)
2011-12-29 10:10:52 org.apache.catalina.core.StandardService initInternal
严重: Failed to initialize connector [Connector[HTTP/1.1-443]]
org.apache.catalina.LifecycleException: Protocol handler initialization failed
at org.apache.catalina.connector.Connector.initInternal(Connector.java:912)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:101)
at org.apache.catalina.core.StandardService.initInternal(StandardService.java:559)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:101)
at org.apache.catalina.core.StandardServer.initInternal(StandardServer.java:781)
at org.apache.catalina.util.LifecycleBase.init(LifecycleBase.java:101)
at org.apache.catalina.startup.Catalina.load(Catalina.java:572)
at org.apache.catalina.startup.Catalina.load(Catalina.java:595)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(Unknown Source)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(Unknown Source)
at java.lang.reflect.Method.invoke(Unknown Source)
at org.apache.catalina.startup.Bootstrap.load(Bootstrap.java:262)
at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:430)
Caused by: java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL with APR
at org.apache.tomcat.util.net.AprEndpoint.bind(AprEndpoint.java:469)
at org.apache.tomcat.util.net.AbstractEndpoint.init(AbstractEndpoint.java:490)
at org.apache.coyote.AbstractProtocol.init(AbstractProtocol.java:364)
at org.apache.catalina.connector.Connector.initInternal(Connector.java:910)
... 13 more
2011-12-29 10:10:52 org.apache.catalina.startup.Catalina load
信息: Initialization processed in 2268 ms
2011-12-29 10:10:52 org.apache.catalina.core.StandardService startInternal
信息: Starting service Catalina
分析:
方法:
在 Tomcat 中注释掉 下面的配置:
<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" />
2011-12-29 10:30:14 org.apache.coyote.AbstractProtocol init
信息: Initializing ProtocolHandler ["http-bio-80"]
2011-12-29 10:30:14 org.apache.coyote.AbstractProtocol init
信息: Initializing ProtocolHandler ["ajp-bio-8009"]
2011-12-29 10:30:14 org.apache.coyote.AbstractProtocol init
信息: Initializing ProtocolHandler ["http-bio-443"]
2011-12-29 10:30:14 org.apache.catalina.startup.Catalina load
信息: Initialization processed in 1300 ms
2011-12-29 10:30:14 org.apache.catalina.core.StandardService startInternal
信息: Starting service Catalina
2011-12-29 10:30:14 org.apache.catalina.core.StandardEngine startInternal
信息: Starting Servlet Engine: Apache Tomcat/7.0.16
- keytool+tomcat配置HTTPS双向证书认证
- keytool+tomcat配置HTTPS双向证书认证
- keytool+tomcat配置HTTPS双向证书认证
- keytool+tomcat配置HTTPS双向证书认证
- keytool+tomcat配置HTTPS双向证书认证
- keytool+tomcat配置HTTPS双向证书认证
- keytool+tomcat配置HTTPS双向证书认证
- keytool+tomcat配置https双向证书认证
- keytool+tomcat配置HTTPS双向证书认证
- keytool+tomcat配置HTTPS双向证书认证
- keytool+tomcat配置HTTPS双向证书认证(无openssl)
- keytool+tomcat配置HTTPS双向证书认证(无openssl)
- keytool+tomcat7配置HTTPS双向证书认证
- 在s2sh+tomcat下的,keytool+tomcat配置HTTPS双向证书认证
- Tomcat服务器配置https双向认证(使用keytool生成证书)
- Tomcat服务器配置https双向认证(使用keytool生成证书)
- 用keytool 生成证书配置tomcat ssl双向认证
- Tomcat服务器配置https认证(使用keytool生成证书)
- unity3d深入学习笔记4:AnySdk接入
- 【2016学府咨询春节摄影大赛】入围决赛作品新鲜出炉
- 分治法(divide & conquer algorithm)的理解
- unity3d深入学习笔记5:内存释放
- maven打包加时间戳
- keytool+tomcat配置HTTPS双向证书认证
- python 算法基础查找和二维数组转换
- 打开linux主机的端口快速释放
- 【codevs1021】玛丽卡,以前屯着的最短路
- Ubuntu软件安装
- unity3d深入学习笔记6:发布Android apk
- 二叉搜索树的搜索、插入、后继、删除
- Ubuntu下如何解压缩zip,tar,tar.gz,tar.bz2文件
- (void __user *)arg 中__user的作用