2. 程式人生 > >tomcat配置HTTPS

tomcat配置HTTPS

阿新 發佈:2018-02-07
size auth collect data rst www. 協議 cat aop

SSL協議使用不對稱加密技術實現雙方之間信息的安全傳遞。可以實現信息傳遞的保密性、完整性,並且會話雙方能鑒別對方身份。
與網站建立https連接時,瀏覽器與WEB SERVER之間要經過一個握手的過程來完成身份鑒定與密鑰交換,建立安全連接。過程是:
1、用戶瀏覽器將其SSL版本號、加密設置參數、與session有關的數據以及其它一些必要信息發送到服務器
2、服務器將其SSL版本號、加密設置參數、與session有關的數據以及其它必要信息發送給瀏覽器,同時發給瀏覽器的還有服務器的證書。如果配置服務器的SSL需要驗證用戶身份,還要發出請求瀏覽器提供用戶證書。
3、客戶端檢查服務器證書,如果檢查失敗,提示不能建立SSL連接,如果成功,則繼續
4、客戶端瀏覽器為本次會話生成pre-master secret,並將其用服務器公鑰加密後發送給服務器。
5、如果服務器要求鑒別客戶身份,客戶端還要再對另外一些數據簽名後並將其與客戶端證書一起發送給服務器。
6、如果服務器要求鑒別客戶身份,則檢查簽署客戶證書的CA是否可信。如果不在信任列表中,結束本次會話。如果檢查通過,服務器用自己的私鑰解密收到的 pre-master secret,並用它通過某些算法生成本次會話的master secret。
7、客戶端與服務器均使用此master secret生成本次會話的會話密鑰(對稱密鑰)。在雙方SSL握手結束後傳遞任何消息均使用此會話密鑰。這樣做的主要原因是對稱加密比非對稱加密的運算量低一個數量級以上,能夠顯著提高雙方會話時的運算速度。
8、客戶端通知服務器此後發送的消息都使用這個會話密鑰進行加密。並通知服務器客戶端已經完成本次SSL握手。
9、服務器通知客戶端此後發送的消息都使用這個會話密鑰進行加密。並通知客戶端服務器已經完成本次SSL握手。
10、本次握手過程結束,會話已經建立。雙方使用同一個會話密鑰分別對發送以及接受的信息進行加、解密。

1、生成服務器端證書文件
可以使用Windows系統或者Linux系統
(1) Windows環境
條件:已經安裝JDK
步驟:
l 進入%JAVA_HOME%/bin目錄
l 執行命令 

keytool -genkey -alias tomcat -keyalg RSA -keystore F:\tomcat.keystore -validity 36500

參數簡要說明:“F:\tomcat.keystore”含義是將證書文件保存在F盤,證書文件名稱是tomcat.keystore ;“-validity 36500”含義是證書有效期,36500表示100年,默認值是90天
l 在命令行填寫必要的參數:
截圖部分說明:
A、輸入keystore密碼:此處需要輸入大於6個字符的字符串

B、“您的名字與姓氏是什麽?”這是必填項,並且必須是TOMCAT部署主機的域名或者IP[如:gbcom.com 或者 10.1.25.251],就是你將來要在瀏覽器中輸入的訪問地址

C、“你的組織單位名稱是什麽?”、“您的組織名稱是什麽?”、“您所在城市或區域名稱是什麽?”、“您所在的州或者省份名稱是什麽?”、“該單位的兩字母國家代碼是什麽?”可以按照需要填寫也可以不填寫直接回車,在系統詢問“正確嗎?”時,對照輸入信息,如果符合要求則使用鍵盤輸入字母“y”,否則輸入“n”重新填寫上面的信息

D、輸入<tomcat>的主密碼,這項較為重要,會在tomcat配置文件中使用,建議輸入與keystore的密碼一致,設置其它密碼也可以

l 完成上述輸入後,直接回車則在你在第二步中定義的位置找到生成的文件

(2) Linux環境

條件:安裝了JDK

步驟:

l 進入$JAVA_HOME/bin目錄

l 執行命令 

./keytool -genkey -alias tomcat -keyalg RSA -keystore /usr/local/ac/web/tomcat.keystore -validity 36500

參數簡要說明:“/etc/tomcat.keystore”含義是將證書文件保存在路徑/usr/local/ac/web/下,證書文件名稱是tomcat.keystore ;“-validity 36500”含義是證書有效期,36500表示100年,默認值是90天

l 在命令行填寫必要的參數:
截圖如下:
截圖部分說明:
A、Enter keystore password:此處需要輸入大於6個字符的字符串
B、“What is your first and last name?”這是必填項,並且必須是TOMCAT部署主機的域名或者IP[如:gbcom.com 或者 10.1.25.251],就是你將來要在瀏覽器中輸入的訪問地址

C、“What is the name of your organizational unit?”、“What is the name of your organization?”、“What is the name of your City or Locality?”、“What is the name of your State or Province?”、“What is the two-letter country code for this unit?”可以按照需要填寫也可以不填寫直接回車,在系統詢問“correct?”時,對照輸入信息,如果符合要求則使用鍵盤輸入字母“y”,否則輸入 “n”重新填寫上面的信息
D、Enter key password for <tomcat>,這項較為重要,會在tomcat配置文件中使用,建議輸入與keystore的密碼一致,設置其它密碼也可以
l 完成上述輸入後,直接回車則在你在第二步中定義的位置找到生成的文件
2、配置TOMCAT服務器
(1) 如果你是在Windows環境中生成證書文件,則需要將生成的證書tomcat.keystore拷貝到Tomcat將要引用的位置,假設tomcat的應用證書的路徑是“/etc/tomcat.keystore”,則需要將證書文件拷貝到“etc/”下;如果是在Linux環境按照上述介紹的步驟生成證書文件的話,此時證書文件已經在“etc/”下。
(2) 配置Tomcat,打開$CATALINA_HOME/conf/server.xml,修改如下, 

<Connector port="8080" protocol="HTTP/1.1" 
connectionTimeout="20000" 
redirectPort="8443" />

修改參數=> 

<Connector port="80" protocol="HTTP/1.1" 
connectionTimeout="20000" 
redirectPort="443" /> 
<!-- 
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 
maxThreads="150" scheme="https" secure="true" 
clientAuth="false" sslProtocol="TLS"/> 
-->

去掉註釋且修改參數=>
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat.keystore" keystorePass="www.gbcom.com.cn"/>
註釋:標識為淡藍色的兩個參數,分別是證書文件的位置和<tomcat>的主密碼,在證書文件生成過程中做了設置 

<!-- 
<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="8443" /> 
-->

修改參數=> 

<Connector port="8009" enableLookups="false" protocol="AJP/1.3" redirectPort="443" />

(3) 打開$CATALINA_HOME/conf/web.xml,在該文件末尾增加: 

<security-constraint> 
<web-resource-collection > 
<web-resource-name >SSL</web-resource-name> 
<url-pattern>/*</url-pattern> 
</web-resource-collection> 
<user-data-constraint> 
<transport-guarantee>CONFIDENTIAL</transport-guarantee> 
</user-data-constraint> 
</security-constraint>

3、上述配置完成後,重啟TOMCAT後即可以使用SSL。IE地址欄中可以直接輸入地址不必輸入“http://” 或者 “https://” ;也可以輸入 “http:// ” 會跳轉成為 “https://” 來登錄
4、註意事項:
(1) 生成證書的時間,如果IE客戶端所在機器的時間早於證書生效時間,或者晚於有效時間,IE會提示“該安全證書已到期或還未生效”
(2) 如果IE提示“安全證書上的名稱無效或者與站點名稱不匹配”,則是由生成證書時填寫的服務器所在主機的域名“您的名字與姓氏是什麽?”/“What is your first and last name?”不正確引起的
5、遺留問題:
(1)如果AC主機不能通過域名查找,必須使用IP,但是這個IP只有在配置後才能確定,這樣證書就必須在AC確定IP地址後才能生成
(2)證書文件只能綁定一個IP地址,假設有10.1.25.250 和 192.168.1.250 兩個IP地址,在證書生成文件時,如使用了10.1.25.250,通過IE就只能使用10.1.25.250 來訪問AC-WEB,192.168.1.250是無法訪問AC-WEB的。

參考資料:
http://tianli.blog.51cto.com/190322/90101
http://qixiaopeng.javaeye.com/blog/466298

關註公眾號獲取海量視頻

技術分享圖片

tomcat配置HTTPS

相關推薦

eclipse下的tomcat配置https(最簡單得配置https

如果 希望 alias lib connector connect eclipse cnblogs itl 近期公司列出一大堆的東西,其中包括https,啥也不想說,你們是無法理解的苦逼的我的 關於https這些通道可以去百度Google其原理,不廢話,自動生成秘鑰,需要使

Nginx+Tomcat配置https

dir source blank location prefix targe tps suffix session Nginx + Tomcat 配置 HTTPS 1、總述 瀏覽器和 Nginx 之間走的 HTTPS 通訊,而 Nginx 到 Tomcat 通過 proxy

tomcat配置https方式訪問

web tomcat部署 rect serve led 字符 是你 eve tomcat 1.cmd 命令下,然後在jdk的bin的目錄下執行 keytool -genkey -alias tomcat -keyalg RSA -keystore F:\tomcat.k

tomcat 配置https

tls efi const prot jks serve eth direct als 修改tomcat/conf/server.xml <Connector port="80" protocol="HTTP/1.1" connecti

tomcat配置HTTPS

size auth collect data rst www. 協議 cat aop SSL協議使用不對稱加密技術實現雙方之間信息的安全傳遞。可以實現信息傳遞的保密性、完整性,並且會話雙方能鑒別對方身份。 與網站建立https連接時,瀏覽器與WEB SERVER之間要經過一

Nginx、Tomcat配置https

conn sch apache 分享 port led rtk test event 一、Nginx、Tomcat配置https   前提就是已經得到了CA機構頒發的證書 一、合並證書   1、假設證書文件如下   秘鑰文件server.key,證書CACert

Linux下 nginx+tomcat配置https的總結和遇到的坑

master gcc apache ddr code style remote protocol lis 證書的獲取略 服務器的端口443確保外界網絡能夠進行訪問。 是否配置https: nginx:是 tomcat:否 1.首先查看nginx是否支持SSL。 參考鏈接:

tomcat配置https自簽名證書(keytool生成)

pri list tin led str orm unit lock pass tomcat配置https自簽名證書(keytool生成) 生成keystore keytool -genkeypair -alias "server" -keyalg &

keytool+tomcat配置HTTPS雙向證書認證

tomcat-7 exp html 保存 store 本地 -i window 目錄 系統需求: 1、 Windows系統或Linux系統 2、 安裝並配置JDK 1.6.0_13 3、 安裝並配置Tomcat 6.0 一、服務器證書 創建證書存儲目錄“D:\hom

Tomcat 配置https協議

記錄一下為了使Tomcat容器支援https協議所做的配置步驟 1.首先部署Tomcat的環境,從apache官方網站上下載解壓版tomcat解壓後防止某個目錄即可,不再贅述 2.使用java自帶的工具生成安全證書 進入jdk安裝目錄下的bin資料夾,進入dos介面(資源管理器進入該

tomcat 配置 https 用keytools

生成jks keytool -genkey -alias test -keyalg RSA -keysize 1024 -keystore test.jks -validity 365 將jks 移入${tomcat_home}/conf server.xml配置 <

Tomcat: 配置https(第三方CA簽發)

版本:tomcat8,jdk1.7 1.製作jks #產生keystore keytool -genkey -alias server -keyalg RSA -keysize 2048 -keystore www.myweb.cn.jks -storepass password -ke

Tomcat8配置Https協議,Tomcat配置Https安全訪問,Tomcat Https配置

Tomcat8配置Https協議,Tomcat配置Https安全訪問,Tomcat Https配置   ============================== ©Copyright 蕃薯耀 2017年11月06日 http://www.cnblogs.com

tomcat配置https訪問

一.  建立tomcat證書 使用JDK自帶的keytool工具來生成證書: 1. 開啟cmd,啟動keytool 2. 在命令列中輸入以下命令: keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "c:\tomcat.keys

linux下tomcat配置https

其實很簡單,就兩步。 第一步,用jdk自帶的keytool工具生成一個金鑰 keytool -genkey -alias tomcat -keyalg RSA -keystore /自己的tomcat安裝路徑/conf/.keystore 下面的組織、公司、單位、城市什

Tomcat配置 https SSL證書

公司網站連結要由原來的http超文字傳輸協議訪問改為https SSl加密傳輸協議訪問。 HTTP與HTTPS的區別:HTTP協議傳輸的資料都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私資訊

Nginx、tomcat配置https證書申請

證書的申請及Nginx和tomcat所需的檔案 近期部署公司主頁,要配置成https訪問,研究了下Nginx和tomcat配置https 所需的檔案及步驟,在這裡介紹從godaddy申請證書及配置的一系列操作 1.證書申請 Godaddy是一家提供域名註冊和網際網路

為域名申請免費SSL證書(https),併為Tomcat配置https域名所用的多SSL證書

 點選下面連線檢視從零開始搭網站全系列   從零開始搭網站     由於國內的網路環境比較惡劣,運營商流量劫持的情況比較嚴重,一般表現為別人開啟你的網站的時候會彈一些莫名其妙的廣告...更過分的會跳轉至別的網站.   那麼為了解決這種情況,那麼我們就要申請SSL證書,並且配

inux tomcat配置https以及http訪問https

https://blog.csdn.net/sanshipianyezi/article/details/72737391  參考該作者,補充你兩點1. 關於埠號的修改<Connector port="443" protocol="org.apache.coyote.h

Tomcat配置https協議、以及http協議自動REDIRECT到HTTPS

在命令提示符視窗,進入Tomcat目錄,執行以下命令: keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -va