美文网首页
Tomcat启用HTTPS协议之JDK工具keytool

Tomcat启用HTTPS协议之JDK工具keytool

作者: 赵荣晖 | 来源:发表于2020-10-24 11:44 被阅读0次

     Tomcat启用HTTPS协议之JDK工具keytool

    需求:平台原本是用http访问的,为了保证数据传输的完整性及防止接口被监听,甲方要求将平台改为https访问。

    原因:HTTP 的连接很简单,是无状态的;HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全

    方案1、在tomcat中修改server.xml配置,使用jdk自带工具keytool生成ssl证书,使平台可以通过https访问。

    方案2、通过Nginx代理的方式将https转为http,已达到上述目的。

    此文记录方案1的详细操作,流程比较繁琐,但绝对可以成功。

    第一部分:如下操作完,即可通过https://ip:8843/projectName访问平台,如下图。问题是访问会提示“此站点不安全”,点击“详细信息”中的“转到此网页(不推荐)”,即可打开平台。

     Tomcat启用HTTPS协议之JDK工具keytool

    需求:平台原本是用http访问的,为了保证数据传输的完整性及防止接口被监听,甲方要求将平台改为https访问。

    原因:HTTP 的连接很简单,是无状态的;HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全

    方案1、在tomcat中修改server.xml配置,使用jdk自带工具keytool生成ssl证书,使平台可以通过https访问。

    方案2、通过Nginx代理的方式将https转为http,已达到上述目的。

    此文记录方案1的详细操作,流程比较繁琐,但绝对可以成功。

    第一部分:如下操作完,即可通过https://ip:8843/projectName访问平台,如下图。问题是访问会提示“此站点不安全”,点击“详细信息”中的“转到此网页(不推荐)”,即可打开平台。

    1、首先需要安装jdk(安装方法自行百度),本文用的是jdk1.8,在安装路径下找keytool.exe。

    2、在keytool中按住shift+右键,点击在此处打开Powershell窗口,打开的命令窗口即keytool.exe所在的目录,后续的命令均在此处执行。

    3、在d盘下创建keys文件,后续命令生成的文件均在此目录下

    4、执行以下命令:keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456

    命令中重点关注参数:别名-alias tomcat,记住这个tomcat,后面用的到。-keypass 密码,这个非常重要,后面用的到。-keystore 路径,这个是生成tomcat.keystore的路径。

    输入内容中重点参数:您的名字与姓氏是什么?这个填写要使用https访问的平台ip,其他的可以是anything

    5、将生成的tomcat.keystore放到平台所在服务器下(/root/key),

    6、修改tomcat下conf中的server.xml,增加如下配置,重点关注路径(tomcat.keystore所在的路径)和密码(生成tomcat.keystore时用的密码):

        <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="/root/key/tomcat.keystore" keystorePass="123456"  />

    7、以上配置完成后重启tomcat,第一部分操作完成,结果应该入开始部分的描述。

    第二部分 如下操作完,即可通过https正常访问平台,没有“此站点不安全”的提示。

    0、尝试过降低ie安全级别,加入信任站点等方式,仍有“此站点不安全”的提示,因此不得不继续进行了。

    1、为客户端生成证书,以便让服务器来验证,证书格式应该是PKCS12。执行如下命令:keytool -genkey -alias client -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client.p12 -storepass 123456

    执行后会在d:/keys下生成client.p12文件。重点关注-alias 别名,后续用的到。-validity 验证有效期限。

    命令之后会输入您的名字与姓氏是什么,此处输入平台的ip,其他的选项可以是anything。

    2、让服务器信任客户端证书

    2.1 由于不能直接将PKCS12格式的证书库导入,必须先把客户端证书导出为一个单独的CER文件。执行命令: keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer

    秘钥库口令即上文输入的123456

    2.2将该文件导入到服务器的证书库,添加为一个信任证书,执行命令:keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor

    秘钥库口令即上文输入的123456

    2.3完成之后通过list命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:keytool -list -v -keystore D:/keys/tomcat.keystore

    3.让客户端信任服务器证书,由于是双向SSL认证,客户端也要验证服务器证书,因此,必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。由于不能直接把keystore格式的证书库导入,必须先把服务器证书导出为一个单独的CER文件,执行命令:keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat -file D:/keys/server.cer

    4、双击server.cer文件,按照提示安装证书,将证书填入到“受信任的根证书颁发机构”

    4.2 打开ie的Internet选项,切换到内容,点击证书,选择中间证书颁发机构,即可查看到自己安装的证书。

    4.3 接下来要做的就是要把证书从“中间证书颁发机构”导出,然后导入到“受信任的根证书颁发机构”

    4.3.1 把证书从“中间证书颁发机构”导出

    4.3.2 把导出的cer文件导入到“受信任的根证书颁发机构”

    第三部分 综上,一共生成了以下几个文件

     Tomcat启用HTTPS协议之JDK工具keytool

    需求:平台原本是用http访问的,为了保证数据传输的完整性及防止接口被监听,甲方要求将平台改为https访问。

    原因:HTTP 的连接很简单,是无状态的;HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全

    方案1、在tomcat中修改server.xml配置,使用jdk自带工具keytool生成ssl证书,使平台可以通过https访问。

    方案2、通过Nginx代理的方式将https转为http,已达到上述目的。

    此文记录方案1的详细操作,流程比较繁琐,但绝对可以成功。

    第一部分:如下操作完,即可通过https://ip:8843/projectName访问平台,如下图。问题是访问会提示“此站点不安全”,点击“详细信息”中的“转到此网页(不推荐)”,即可打开平台。

    1、首先需要安装jdk(安装方法自行百度),本文用的是jdk1.8,在安装路径下找keytool.exe。

    2、在keytool中按住shift+右键,点击在此处打开Powershell窗口,打开的命令窗口即keytool.exe所在的目录,后续的命令均在此处执行。

    3、在d盘下创建keys文件,后续命令生成的文件均在此目录下

    4、执行以下命令:keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456

    命令中重点关注参数:别名-alias tomcat,记住这个tomcat,后面用的到。-keypass 密码,这个非常重要,后面用的到。-keystore 路径,这个是生成tomcat.keystore的路径。

    输入内容中重点参数:您的名字与姓氏是什么?这个填写要使用https访问的平台ip,其他的可以是anything

    5、将生成的tomcat.keystore放到平台所在服务器下(/root/key),

    6、修改tomcat下conf中的server.xml,增加如下配置,重点关注路径(tomcat.keystore所在的路径)和密码(生成tomcat.keystore时用的密码):

        <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="/root/key/tomcat.keystore" keystorePass="123456"  />

    7、以上配置完成后重启tomcat,第一部分操作完成,结果应该入开始部分的描述。

    第二部分 如下操作完,即可通过https正常访问平台,没有“此站点不安全”的提示。

    0、尝试过降低ie安全级别,加入信任站点等方式,仍有“此站点不安全”的提示,因此不得不继续进行了。

    1、为客户端生成证书,以便让服务器来验证,证书格式应该是PKCS12。执行如下命令:keytool -genkey -alias client -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client.p12 -storepass 123456

    执行后会在d:/keys下生成client.p12文件。重点关注-alias 别名,后续用的到。-validity 验证有效期限。

    命令之后会输入您的名字与姓氏是什么,此处输入平台的ip,其他的选项可以是anything。

    2、让服务器信任客户端证书

    2.1 由于不能直接将PKCS12格式的证书库导入,必须先把客户端证书导出为一个单独的CER文件。执行命令: keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer

    秘钥库口令即上文输入的123456

    2.2将该文件导入到服务器的证书库,添加为一个信任证书,执行命令:keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor

    秘钥库口令即上文输入的123456

    2.3完成之后通过list命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:keytool -list -v -keystore D:/keys/tomcat.keystore

    3.让客户端信任服务器证书,由于是双向SSL认证,客户端也要验证服务器证书,因此,必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。由于不能直接把keystore格式的证书库导入,必须先把服务器证书导出为一个单独的CER文件,执行命令:keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat -file D:/keys/server.cer

    4、双击server.cer文件,按照提示安装证书,将证书填入到“受信任的根证书颁发机构”

    4.2 打开ie的Internet选项,切换到内容,点击证书,选择中间证书颁发机构,即可查看到自己安装的证书。

    4.3 接下来要做的就是要把证书从“中间证书颁发机构”导出,然后导入到“受信任的根证书颁发机构”

    4.3.1 把证书从“中间证书颁发机构”导出

    4.3.2 把导出的cer文件导入到“受信任的根证书颁发机构”

    第三部分 综上,一共生成了以下几个文件

    1、首先需要安装jdk(安装方法自行百度),本文用的是jdk1.8,在安装路径下找keytool.exe。

    2、在keytool中按住shift+右键,点击在此处打开Powershell窗口,打开的命令窗口即keytool.exe所在的目录,后续的命令均在此处执行。

    3、在d盘下创建keys文件,后续命令生成的文件均在此目录下

    4、执行以下命令:keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456

    命令中重点关注参数:别名-alias tomcat,记住这个tomcat,后面用的到。-keypass 密码,这个非常重要,后面用的到。-keystore 路径,这个是生成tomcat.keystore的路径。

    输入内容中重点参数:您的名字与姓氏是什么?这个填写要使用https访问的平台ip,其他的可以是anything

    5、将生成的tomcat.keystore放到平台所在服务器下(/root/key),

    6、修改tomcat下conf中的server.xml,增加如下配置,重点关注路径(tomcat.keystore所在的路径)和密码(生成tomcat.keystore时用的密码):

        <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="/root/key/tomcat.keystore" keystorePass="123456"  />

    7、以上配置完成后重启tomcat,第一部分操作完成,结果应该入开始部分的描述。

    第二部分 如下操作完,即可通过https正常访问平台,没有“此站点不安全”的提示。

    0、尝试过降低ie安全级别,加入信任站点等方式,仍有“此站点不安全”的提示,因此不得不继续进行了。

    1、为客户端生成证书,以便让服务器来验证,证书格式应该是PKCS12。执行如下命令:keytool -genkey -alias client -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client.p12 -storepass 123456

    执行后会在d:/keys下生成client.p12文件。重点关注-alias 别名,后续用的到。-validity 验证有效期限。

    命令之后会输入您的名字与姓氏是什么,此处输入平台的ip,其他的选项可以是anything。

    2、让服务器信任客户端证书

    2.1 由于不能直接将PKCS12格式的证书库导入,必须先把客户端证书导出为一个单独的CER文件。执行命令: keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer

    秘钥库口令即上文输入的123456

    2.2将该文件导入到服务器的证书库,添加为一个信任证书,执行命令:keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor

    秘钥库口令即上文输入的123456

    2.3完成之后通过list命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:keytool -list -v -keystore D:/keys/tomcat.keystore

    3.让客户端信任服务器证书,由于是双向SSL认证,客户端也要验证服务器证书,因此,必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。由于不能直接把keystore格式的证书库导入,必须先把服务器证书导出为一个单独的CER文件,执行命令:keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat -file D:/keys/server.cer

    4、双击server.cer文件,按照提示安装证书,将证书填入到“受信任的根证书颁发机构”

    4.2 打开ie的Internet选项,切换到内容,点击证书,选择中间证书颁发机构,即可查看到自己安装的证书。

    4.3 接下来要做的就是要把证书从“中间证书颁发机构”导出,然后导入到“受信任的根证书颁发机构”

    4.3.1 把证书从“中间证书颁发机构”导出

    4.3.2 把导出的cer文件导入到“受信任的根证书颁发机构”

    第三部分 综上,一共生成了以下几个文件

    相关文章

      网友评论

          本文标题:Tomcat启用HTTPS协议之JDK工具keytool

          本文链接:https://www.haomeiwen.com/subject/fspimktx.html