Tomcat启用HTTPS协议之JDK工具keytool
需求:平台原本是用http访问的,为了保证数据传输的完整性及防止接口被监听,甲方要求将平台改为https访问。
原因:HTTP 的连接很简单,是无状态的;HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全
方案1、在tomcat中修改server.xml配置,使用jdk自带工具keytool生成ssl证书,使平台可以通过https访问。
方案2、通过Nginx代理的方式将https转为http,已达到上述目的。
此文记录方案1的详细操作,流程比较繁琐,但绝对可以成功。
第一部分:如下操作完,即可通过https://ip:8843/projectName访问平台,如下图。问题是访问会提示“此站点不安全”,点击“详细信息”中的“转到此网页(不推荐)”,即可打开平台。
Tomcat启用HTTPS协议之JDK工具keytool
需求:平台原本是用http访问的,为了保证数据传输的完整性及防止接口被监听,甲方要求将平台改为https访问。
原因:HTTP 的连接很简单,是无状态的;HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全
方案1、在tomcat中修改server.xml配置,使用jdk自带工具keytool生成ssl证书,使平台可以通过https访问。
方案2、通过Nginx代理的方式将https转为http,已达到上述目的。
此文记录方案1的详细操作,流程比较繁琐,但绝对可以成功。
第一部分:如下操作完,即可通过https://ip:8843/projectName访问平台,如下图。问题是访问会提示“此站点不安全”,点击“详细信息”中的“转到此网页(不推荐)”,即可打开平台。
1、首先需要安装jdk(安装方法自行百度),本文用的是jdk1.8,在安装路径下找keytool.exe。
2、在keytool中按住shift+右键,点击在此处打开Powershell窗口,打开的命令窗口即keytool.exe所在的目录,后续的命令均在此处执行。
3、在d盘下创建keys文件,后续命令生成的文件均在此目录下
4、执行以下命令:keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456
命令中重点关注参数:别名-alias tomcat,记住这个tomcat,后面用的到。-keypass 密码,这个非常重要,后面用的到。-keystore 路径,这个是生成tomcat.keystore的路径。
输入内容中重点参数:您的名字与姓氏是什么?这个填写要使用https访问的平台ip,其他的可以是anything
5、将生成的tomcat.keystore放到平台所在服务器下(/root/key),
6、修改tomcat下conf中的server.xml,增加如下配置,重点关注路径(tomcat.keystore所在的路径)和密码(生成tomcat.keystore时用的密码):
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="/root/key/tomcat.keystore" keystorePass="123456" />
7、以上配置完成后重启tomcat,第一部分操作完成,结果应该入开始部分的描述。
第二部分 如下操作完,即可通过https正常访问平台,没有“此站点不安全”的提示。
0、尝试过降低ie安全级别,加入信任站点等方式,仍有“此站点不安全”的提示,因此不得不继续进行了。
1、为客户端生成证书,以便让服务器来验证,证书格式应该是PKCS12。执行如下命令:keytool -genkey -alias client -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client.p12 -storepass 123456
执行后会在d:/keys下生成client.p12文件。重点关注-alias 别名,后续用的到。-validity 验证有效期限。
命令之后会输入您的名字与姓氏是什么,此处输入平台的ip,其他的选项可以是anything。
2、让服务器信任客户端证书
2.1 由于不能直接将PKCS12格式的证书库导入,必须先把客户端证书导出为一个单独的CER文件。执行命令: keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer
秘钥库口令即上文输入的123456
2.2将该文件导入到服务器的证书库,添加为一个信任证书,执行命令:keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor
秘钥库口令即上文输入的123456
2.3完成之后通过list命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:keytool -list -v -keystore D:/keys/tomcat.keystore
3.让客户端信任服务器证书,由于是双向SSL认证,客户端也要验证服务器证书,因此,必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。由于不能直接把keystore格式的证书库导入,必须先把服务器证书导出为一个单独的CER文件,执行命令:keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat -file D:/keys/server.cer
4、双击server.cer文件,按照提示安装证书,将证书填入到“受信任的根证书颁发机构”
4.2 打开ie的Internet选项,切换到内容,点击证书,选择中间证书颁发机构,即可查看到自己安装的证书。
4.3 接下来要做的就是要把证书从“中间证书颁发机构”导出,然后导入到“受信任的根证书颁发机构”
4.3.1 把证书从“中间证书颁发机构”导出
4.3.2 把导出的cer文件导入到“受信任的根证书颁发机构”
第三部分 综上,一共生成了以下几个文件
Tomcat启用HTTPS协议之JDK工具keytool
需求:平台原本是用http访问的,为了保证数据传输的完整性及防止接口被监听,甲方要求将平台改为https访问。
原因:HTTP 的连接很简单,是无状态的;HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全
方案1、在tomcat中修改server.xml配置,使用jdk自带工具keytool生成ssl证书,使平台可以通过https访问。
方案2、通过Nginx代理的方式将https转为http,已达到上述目的。
此文记录方案1的详细操作,流程比较繁琐,但绝对可以成功。
第一部分:如下操作完,即可通过https://ip:8843/projectName访问平台,如下图。问题是访问会提示“此站点不安全”,点击“详细信息”中的“转到此网页(不推荐)”,即可打开平台。
1、首先需要安装jdk(安装方法自行百度),本文用的是jdk1.8,在安装路径下找keytool.exe。
2、在keytool中按住shift+右键,点击在此处打开Powershell窗口,打开的命令窗口即keytool.exe所在的目录,后续的命令均在此处执行。
3、在d盘下创建keys文件,后续命令生成的文件均在此目录下
4、执行以下命令:keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456
命令中重点关注参数:别名-alias tomcat,记住这个tomcat,后面用的到。-keypass 密码,这个非常重要,后面用的到。-keystore 路径,这个是生成tomcat.keystore的路径。
输入内容中重点参数:您的名字与姓氏是什么?这个填写要使用https访问的平台ip,其他的可以是anything
5、将生成的tomcat.keystore放到平台所在服务器下(/root/key),
6、修改tomcat下conf中的server.xml,增加如下配置,重点关注路径(tomcat.keystore所在的路径)和密码(生成tomcat.keystore时用的密码):
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="/root/key/tomcat.keystore" keystorePass="123456" />
7、以上配置完成后重启tomcat,第一部分操作完成,结果应该入开始部分的描述。
第二部分 如下操作完,即可通过https正常访问平台,没有“此站点不安全”的提示。
0、尝试过降低ie安全级别,加入信任站点等方式,仍有“此站点不安全”的提示,因此不得不继续进行了。
1、为客户端生成证书,以便让服务器来验证,证书格式应该是PKCS12。执行如下命令:keytool -genkey -alias client -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client.p12 -storepass 123456
执行后会在d:/keys下生成client.p12文件。重点关注-alias 别名,后续用的到。-validity 验证有效期限。
命令之后会输入您的名字与姓氏是什么,此处输入平台的ip,其他的选项可以是anything。
2、让服务器信任客户端证书
2.1 由于不能直接将PKCS12格式的证书库导入,必须先把客户端证书导出为一个单独的CER文件。执行命令: keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer
秘钥库口令即上文输入的123456
2.2将该文件导入到服务器的证书库,添加为一个信任证书,执行命令:keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor
秘钥库口令即上文输入的123456
2.3完成之后通过list命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:keytool -list -v -keystore D:/keys/tomcat.keystore
3.让客户端信任服务器证书,由于是双向SSL认证,客户端也要验证服务器证书,因此,必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。由于不能直接把keystore格式的证书库导入,必须先把服务器证书导出为一个单独的CER文件,执行命令:keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat -file D:/keys/server.cer
4、双击server.cer文件,按照提示安装证书,将证书填入到“受信任的根证书颁发机构”
4.2 打开ie的Internet选项,切换到内容,点击证书,选择中间证书颁发机构,即可查看到自己安装的证书。
4.3 接下来要做的就是要把证书从“中间证书颁发机构”导出,然后导入到“受信任的根证书颁发机构”
4.3.1 把证书从“中间证书颁发机构”导出
4.3.2 把导出的cer文件导入到“受信任的根证书颁发机构”
第三部分 综上,一共生成了以下几个文件
1、首先需要安装jdk(安装方法自行百度),本文用的是jdk1.8,在安装路径下找keytool.exe。
2、在keytool中按住shift+右键,点击在此处打开Powershell窗口,打开的命令窗口即keytool.exe所在的目录,后续的命令均在此处执行。
3、在d盘下创建keys文件,后续命令生成的文件均在此目录下
4、执行以下命令:keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456
命令中重点关注参数:别名-alias tomcat,记住这个tomcat,后面用的到。-keypass 密码,这个非常重要,后面用的到。-keystore 路径,这个是生成tomcat.keystore的路径。
输入内容中重点参数:您的名字与姓氏是什么?这个填写要使用https访问的平台ip,其他的可以是anything
5、将生成的tomcat.keystore放到平台所在服务器下(/root/key),
6、修改tomcat下conf中的server.xml,增加如下配置,重点关注路径(tomcat.keystore所在的路径)和密码(生成tomcat.keystore时用的密码):
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" keystoreFile="/root/key/tomcat.keystore" keystorePass="123456" />
7、以上配置完成后重启tomcat,第一部分操作完成,结果应该入开始部分的描述。
第二部分 如下操作完,即可通过https正常访问平台,没有“此站点不安全”的提示。
0、尝试过降低ie安全级别,加入信任站点等方式,仍有“此站点不安全”的提示,因此不得不继续进行了。
1、为客户端生成证书,以便让服务器来验证,证书格式应该是PKCS12。执行如下命令:keytool -genkey -alias client -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client.p12 -storepass 123456
执行后会在d:/keys下生成client.p12文件。重点关注-alias 别名,后续用的到。-validity 验证有效期限。
命令之后会输入您的名字与姓氏是什么,此处输入平台的ip,其他的选项可以是anything。
2、让服务器信任客户端证书
2.1 由于不能直接将PKCS12格式的证书库导入,必须先把客户端证书导出为一个单独的CER文件。执行命令: keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer
秘钥库口令即上文输入的123456
2.2将该文件导入到服务器的证书库,添加为一个信任证书,执行命令:keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor
秘钥库口令即上文输入的123456
2.3完成之后通过list命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:keytool -list -v -keystore D:/keys/tomcat.keystore
3.让客户端信任服务器证书,由于是双向SSL认证,客户端也要验证服务器证书,因此,必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。由于不能直接把keystore格式的证书库导入,必须先把服务器证书导出为一个单独的CER文件,执行命令:keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat -file D:/keys/server.cer
4、双击server.cer文件,按照提示安装证书,将证书填入到“受信任的根证书颁发机构”
4.2 打开ie的Internet选项,切换到内容,点击证书,选择中间证书颁发机构,即可查看到自己安装的证书。
4.3 接下来要做的就是要把证书从“中间证书颁发机构”导出,然后导入到“受信任的根证书颁发机构”
4.3.1 把证书从“中间证书颁发机构”导出
4.3.2 把导出的cer文件导入到“受信任的根证书颁发机构”
第三部分 综上,一共生成了以下几个文件
