2. 程式人生 > >tomcat部署https,用openssl簽發證書

tomcat部署https,用openssl簽發證書

阿新 發佈:2019-01-01

常見字尾

cer,crt證書(不支援私鑰)
一般是簽署後CA頒發的證書,實質是CA用私鑰在申請者的公鑰上簽名
—–BEGIN CERTIFICATE—–

csr:(Certificate Signing Request) 申請簽名的證書請求
–-BEGIN NEW CERTIFICATE REQUEST–

pfx,p12:(Personal Information Exchange)
儲存證書和私鑰

crl:(Certificate Revocation List)
證書銷燬清單

key,pem:(Privacy-enhanced Electronic Mail)
linux/unix下儲存金鑰的,window下不能用keytool匯出金鑰
—–BEGIN RSA PRIVATE KEY—–
pem同時也能儲存公鑰
—–BEGIN PUBLIC KEY—–

keystore是用來管理各種條目的,包括:
PrivateKeyEntry : 金鑰對
SecretKeyEntry : 私鑰【keystore格式僅為jceks】
TrustedCertificateEntry : 證書
keystore介紹:
Manage keys, certificates and keystores

生成ssl證書

1.用easyRSA,OpenSSL,keytool都可以生成金鑰對
keytool直接是生成金鑰對,無法提取金鑰的,需要用到 java-exportpriv
Tomcat伺服器配置https雙向認證(使用keytool生成證書)


2.直接在免費CA上申請伺服器證書,如CA365

openssl生成方式

  1. 生成CA金鑰
    openssl genrsa -out private/cakey.pem 2048

  2. 生成CA自簽名證書
    openssl req -new -x509 -key private/cakey.pem -out cacert.pem

  3. 生成伺服器的私鑰
    openssl genrsa -out private/pencilboxserver.key 2048

  4. 生成伺服器的簽名請求
    openssl req -new -key private/pencilboxserver.key -out pencilboxcert.csr
    【CommonName設定為自己的域名】

  5. 用CA為伺服器生成簽名的證書
    openssl x509 -req -in pencilboxcert.csr -CA cacert.pem -CAkey private/cakey.pem -CAcreateserial -out pencilboxsigncert.crt -days 730 -sha512

  6. 打包服務端金鑰庫
    openssl pkcs12 -export -in pencilboxsigncert.crt -inkey private/pencilboxserver.key -out pencilboxpsdlib.pfx

  7. 生成客戶端私鑰
    openssl genrsa -out private/client.pem 2048
    ps:如無需實現雙向認證,則無需準備客戶端的東東

  8. 生成客戶端的簽名請求
    openssl req -new -key private/client.pem -out client.csr

  9. 用CA為客戶端生成簽名的證書
    openssl x509 -req -in client.csr -CA cacert.pem -CAkey private/cakey.pem -CAcreateserial -out client.crt

  10. 打包客戶端金鑰庫
    openssl pkcs12 -export -in client.crt -inkey private/client.pem -out client.pfx

keytool匯入

匯入CA證書

keytool -importcert -v -file /Users/pencil-box/Longwei/CA/cacert.pem -keystore /Users/pencil-box/pencilboxserver.keystore

匯入金鑰對

keytool -importkeystore -v -srckeystore /Users/pencil-box/Longwei/CA/pencilboxpsdlib.pfx -destkeystore /Users/pencil-box/pencilboxserver.keystore

PS:注意keystore是自己建立,或者是用預設的

keytool -genkey -keystore /working/xxx.keystore

Tomcat配置

Tomcat的目錄下,conf目錄下需要更改server.xml和web.xml檔案
server.xml

<Connector SSLEnabled="true" acceptCount="200"              clientAuth="true"
disableUploadTimeout="true" enableLookups="false" maxThreads="125"
port="8443" 
keystoreFile="/Users/pencil-box/Longwei/CA/pencilboxserver.keystore" keystorePass="123456"
truststoreFile="/Users/pencil-box/pencilboxserver.keystore" truststorePass="123456"
protocol="org.apache.coyote.http11.Http11NioProtocol"       scheme="https"
sslProtocol="TLS"
secure="true" />

clientAuth是開啟客戶端驗證的引數

true的時候開啟雙向認證
客戶端需要匯入client.pfx
服務端設定truststoreFile,信任簽發客戶端證書的cacert.pem

keystroeFile是伺服器金鑰對儲存的keystore
truststoreFile是簽署客戶端證書的根證書位置

注意這裡是NIO模式,如果啟用Tomcat APR模式配置中略有不同,詳見mac下tomcat啟用APR模式

web.xml
將下面這段嵌在web-app節點下:

<security-constraint>
<web-resource-collection>
    <web-resource-name>securedapp</web-resource-name>
    <url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>

這裡配置了transport-guarantee的引數為confidential,即全網站都是通過ssl加密
web.xml Reference Guide for Tomcat

客戶端配置

匯入簽發伺服器證書的CA自簽證書即可,在這裡是匯入cacert.pem
雙向驗證的時候,還需要匯入client.pfx

如果服務端沒有相應的域名,那麼可以通過改hosts的方式,強行進行域名對映。瀏覽器會匹配域名是否為伺服器證書的Common Name,匹配不成功會報告不安全。

注意事項

  1. 錯誤:
    Caused by: java.security.UnrecoverableKeyException: Cannot recover key
    解決方案:
    修改的key金鑰的密碼與keystore的一致。

  2. 匯入keystore中需要匯入服務端的證書與金鑰打包成的pkcs12檔案,因為keystore不能單獨匯入金鑰。

  3. 簽發證書的時候,要保證CommonName是自己的域名or Ip,
    匹配原則是*.domain.com 只能匹配 ssl.domain.com 不能匹配 ssl1.ssl2.domain.com。

  4. SSL的握手協議可以通過wireshark進行檢視,預設的443埠是直接解析的,非443埠需要配置埠監聽SSL,具體在preferences的RSA keylist裡面。
    對於SSL握手中協商的公鑰演算法,如果使用了Diffie-Hellman演算法,那麼TLS Session Key會用一個動態產生的金鑰對進行加密,並不會使用證書的公鑰,所以即使配置了服務端的金鑰,也是不能解密的。
    詳情可看下面這篇文章。
    如何通過Wireshark檢視HTTPS、HTTP/2網路包(解碼TLS、SSL)
    Is there any particular reason to use Diffie-Hellman over RSA for key exchange?

相關推薦

tomcat部署httpsopenssl簽發證書

常見字尾 cer,crt證書(不支援私鑰) 一般是簽署後CA頒發的證書,實質是CA用私鑰在申請者的公鑰上簽名 —–BEGIN CERTIFICATE—– csr:(Certificate Signing Request) 申請簽名的證書請求 –-BEG

openssl簽發證書

配置環境 在/home目錄下建立ssl目錄: cd /homemkdir sslcd ssl 建立幾個要用到的目錄: mkdir private certs newscerts crl 其中private主要用來存放私鑰的. certs用於存入簽出的書 將配置檔案複製到當前目錄 cp /usr/sha

Tomcat部署HTTPS協議

1.生成證書; keytool -genkeypair -alias "tomcat" -keyalg "RSA" -validity 90 -keystore "D:\tomcat.keystore" “D:\tomcat.keystore” 生成的keystore位

tomcat部署專案修改專案名配置專案路徑

1.在tomcat安裝路徑下找到server.xml     2.在<主機名=“localhost”appBase =“webapps”節點下面新增 (1)這個情況是不需要專案名 :  <Context path =“/” docBase =

tomcat部署專案如何去掉專案名

tomcat7預設的程式釋出路徑為tomcat/webapps/ROOT/下面。 例子 比如我在tomcat/webapps/ROOT/路徑下新建一個jsp檔案,則可以直接通過URL為: 來訪問。 再比如我做檔案的上傳和下載功能時,可以在ROOT下新建一個FileUpload資料夾,把上傳檔案的路徑

阿里雲新centos7.4系統安裝https通過openssl重新編譯nginx

按照阿里雲官方的https安裝教程在編譯nginx時總是報錯,研究了很久,發現它的安裝方法可能並不適用於已經預裝好openssl的系統,而教程中提供的openssl版本比較新,網上大部分方法並不適用,經過半天的折騰總結出如下方案:1.   遠端連線並登入到 Linux 例項。

使用openssl簽發證書

1.1 使用openssl命令簽發二級、三級數字證書 下面以linux系統為例 1.1.1 linux下OpenSSL下的CA機制的配置  OpenSSL下的CA機制配置主要依靠根目錄下的openssl.cnf檔案。他規定了CA生成,簽發和吊銷證書的主要規則。並且op

修改tomcat部署專案配置(涉及propertiesxmlzip,war之間相互轉換修改)

 思路:傳入tomcat部署路徑,  1,遍歷tomcat下所有的資料夾,因為要修改  的檔案都是固定,所以根據傳入路徑就能拼裝要修改的檔案。  2,像1的解決思路,可能導致tomcat不斷在啟動,因為檔案在修改。  所以又想到,將要修改的war包改成Zip,因為其結構都一樣

Tomcat部署jsp出現亂碼問題

一、Java中文問題的由來 Java的核心和class檔案是基於unicode的,這使Java程式具有良好的跨平臺性,但也帶來了一些中文亂碼問題的麻煩。原因主要有兩方面,Java和JSP檔案本身編譯時產生的亂碼問題和Java程式於其他媒介互動產生的亂碼問題。 首先Java(

Apache2.4.7配置https解決阿里雲證書配置之痛

Chrome封殺80網站(http),逼迫小網開啟443(https)。如果沒有這個的話就會被瀏覽器或電腦管家認定為不安全的網站,當然可繼續訪問,但是當很多人投訴你的網站就會立刻想到與木馬病毒相關的東西,認為這不是一個好網站。 阿里雲伺服器開啟http

tomcat 部署專案不加專案名 直接訪問

<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true" xmlValidation="false" xmlNamesp

tomcat搭建https伺服器+阿里雲免費證書

部落格原由 由於專案的需要,需要在阿里雲ECS(windows伺服器)上搭建後臺。搭建成功後發現不能訪問 http://www.xxx.com/出現以下圖片,需要備案才可以,可是備案需要20個工作日才可以。。。 這怎麼辦呢,那直接用ip如何呢,http:

關於MyElipse tomcat部署成功卻無法新增到webapps的問題

咱剛從ASP轉JSP,程式碼還沒敲servers部署就出現了問題,只好花時間解決配置問題,最後解決了貼上些解決方法(錯誤提示如圖) 顯示Deployment failure on Tomcat 6.x.或者Deployment failure on Tomcat 7.x.

linux下運用Openssl簽發證書詳解。

首先需要安裝openssl。 openssl的配置檔案是openssl.cnf,我們一般就是用預設配置就可以。如果證書有特殊要求的話,可以修改配置適應需求。這樣必須把相關的檔案放到配置檔案指定的目錄下面。 首先需要利用openssl生成根證書,以後的伺服器端證書或者客戶端證

linux中用tomcat部署專案檢視日誌相關命令

       使用xshell連線上linux後,在進行以下操作前要先進入tomcat的bin目錄,使用cd /usr/app/bin命令,要想檢視tomcat日誌,先要進入logs目錄,使用命令cd /usr/app/logs命令。1.------檢視tomcat是否啟動 

NET Core Kestrel部署HTTPS 一個伺服器綁一個證書 一個伺服器綁多個證書

 .net core 3.0 網站釋出到centos後,繫結ssl證書,一個伺服器綁一個證書,一個伺服器綁多個證書 開始之前:對於windows伺服器不存在這個問題,在iis中繫結證書是非常簡單的一件事,不是本篇部落格討論的範圍,繫結多個證書一樣 3.0中指定url的方式可以通過在配置檔案中加url

OpenSSL建立CA和簽發證書轉換成java可以載入的jks

java的keytool工具本來就可以生成互動式認證的證書, 不過其他語言處理互動式認證的流程貌似和java的keytool的認證流程有些差別,  而openssl是比較通用的工具。大部分語言都會支援openssl生成的證書檔案。用openssl簽發的證書如何才能轉化為key

HttpsOpenSSL自建CA證書簽發證書、nginx單向認證、雙向認證及使用Java訪問

1.5 image echo create etc 保存 config openss ima 0.環境 安裝了nginx,安裝了openssl 1.配置和腳本 先創建一個demo目錄(位置自己選擇,我選擇建在nginx的目錄下): mkdir /etc/nginx/

https學習筆記三----OpenSSL生成root CA及簽發證書

open spa centos7 cisc div encrypt 自簽證書 oca led 在https學習筆記二,已經弄清了數字證書的概念,組成和在https連接過程中,客戶端是如何驗證服務器端的證書的。這一章,主要介紹下如何使用openssl庫來創建

靈活多變的keytool和openssl生成證書應用tomcat和nginx

靈活多變的keytool和openssl生成證書,應用tomcat和nginx 文章目錄 前言 什麼是證書?為什麼要使用證書? 證書格式轉換 證書格式 keytool是什麼? 主要格式 test.