tomcat ssl 配置

作者:电脑系统

美高梅手机登录网站,SSL 协议的3个特性:

保密:通过SSL链接传输的数据是加密的

鉴别:通信双方的身份鉴别,通常是可选的,但至少有一方需要验证(通常是服务端)

完成性:传输数据的完整性检查

从性能角度考虑,加密是一项计算昂贵的处理,因此尽量不要讲整个Web采用SSL链接,实际部署中,选择有必要进行安全加密的页面(如存在敏感信息传输的页面)采用SSL通信。

接下来相信介绍一下如何在Tomcat中添加SSL 支持。

以上命令将在操作系统的用户目录下生成名为“.keystore”的文件。我当前登录到操作系统的用户名是XuLiang,那么在Wnidows下,文件的位置为:

2 创建根证书(用根证书来签发服务器端请求文件):

[root@ ~]# openssl req -x509 -new -key rootkey.pem -out root.crt

输出如下:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Apache
Organizational Unit Name (eg, section) []:Tomcat
Common Name (eg, your name or your server's hostname) []:Tomcat
Email Address []:tomcat@apache.com

根据提示,需要输入国家、省份、城市、以及公司信息等。

Tomcat既可以作为独立的Servlet容器,也可以作为其他HTTP服务器附加的Servlet容器。如果Tomcat在非独立模式下工作,通常不必配置SSL,由它从属的HTTP服务器来实现和客户的SSL通信。Tomcat和HTTP服务器之间的通信无须采用加密机制,HTTP服务器将解密后的数据传给Tomcat,并把Tomcat发来的数据加密后传给客户。

3 创建服务器秘钥:

[root@ ~]# openssl genrsa -out serverkey.pem 2048

输出如下:

Generating RSA private key, 2048 bit long modulus
............................................................   
................................   
e is 65537 (0x10001)

在安全警报窗口中的第一行提示信息为:“您与该站点交换的信息不会被其他人查看或更改。但该站点的安全证书有问题。”这句话的意思是,一方面,该安全证书非权威机构颁发,不能作为有效的验证对方身份的凭据。另一方面,假如与对方通信,通信数据会经过加密后在网络上传输,因此不会被他人监视或修改。

8 通过keytool的list命令,可以查看其包含的证书信息:

根据提示输入秘钥库密码后,既输出秘钥库包含的证书信息

[root@ ~]# keytool -list -v -keystore mykey.keystore

输出如下:

美高梅手机登录网站 1美高梅手机登录网站 2

Enter keystore password:
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 2 entries
Alias name: tomcat
Creation date: Apr 16, 2018
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=Tomcat, OU=Apache, O=Apache, L=Beijing, ST=Beijing, C=CN
Issuer: CN=Tomcat, OU=Apache, O=Apache, L=Beijing, ST=Beijing, C=CN
Serial number: 5f59c5e3
Valid from: Mon Apr 16 15:36:30 CST 2018 until: Sun Jul 15 15:36:30 CST 2018
Certificate fingerprints:
     MD5: 0E:FB:D2:73:54:89:51:9A:20:96:E8:22:2B:92:36:B6
     SHA1: 2C:DF:97:E9:88:85:72:0E:15:68:B1:09:19:76:7E:67:FC:A7:F9:12
     SHA256: EE:42:E8:96:CE:E1:B5:A6:2C:EC:57:82:44:3A:A8:AD:A3:89:04:01:C8:E8:85:7D:CA:96:B4:E4:63:87:91:49
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3
Extensions:

#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 3A 8F 05 4C 85 6D 2F EE 1E E6 46 ED AD CC CA A6 :..L.m/...F.....
0010: 06 78 A7 CA .x..
]
]
*******************************************
*******************************************
Alias name: 1
Creation date: Apr 16, 2018
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: EMAILADDRESS=tomcat@apache.com, CN=Tomcat, OU=Tomcat, O=Apache, L=Beijing, ST=Beijing, C=CN
Issuer: EMAILADDRESS=tomcat@apache.com, CN=Tomcat, OU=Tomcat, O=Apache, L=Beijing, ST=Beijing, C=CN
Serial number: 84802670058ff7d5
Valid from: Mon Apr 16 16:31:46 CST 2018 until: Thu Apr 13 16:31:46 CST 2028
Certificate fingerprints:
     MD5: 46:F0:86:8A:FB:60:2E:AA:14:E5:AF:7F:8B:05:A2:F5
     SHA1: EF:3E:90:08:0D:9E:53:95:4E:4F:36:29:78:05:93:E1:DB:48:CB:A2
     SHA256: 8E:B7:51:6D:04:09:24:28:20:68:4F:C3:2A:2E:47:1E:B8:F6:C2:87:D1:55:30:8C:B0:2A:EA:2A:02:8B:09:76
Signature algorithm name: SHA1withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 1

*******************************************
*******************************************

Warning:
The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore mykey.keystore -destkeystore mykey.keystore -deststoretype pkcs12".

View Code

美高梅手机登录网站 3

Tomcat实现SSL两种方式:

一种是JSSE,另一种是APR(默认的OpenSSL引擎)。

JSSE适用于BIO、NIO、NIO2链接器(8.5版本之后,NIO、NIO2同时支持OpenSSL,以用于HTTP/2.0), APR适用于APR链接器。由于JSSE和APR配置有明显区别,因此我们最好在Connector的protocol属性中明确指定链接器的类名,而非协议名(如HTTP/1.1),否则,Tomcat会自动按照本地配置构造connector(如果安装了APR,则适用APR链接器,否则使用NIO链接器),这样可能导致SSL不可用。

--> 

9 将mykey.keystore 秘钥库文件按照前文说明的方式部署到Tomcat中(非APR链接器)。通过浏览器可查看证书信息。

keytool -genkeypair -alias "tomcat" -keyalg "RSA" 

5用根证书来签发服务器端请求文件,生成服务器端证书:

[root@ ~]# openssl x509 -req -in server.csr -CA root.crt -CAkey rootkey.pem -CAcreateserial -days 3650 -out server.crt

输出如下:

Signature ok
subject=/C=CN/ST=Beijing/L=Beijing/O=Apache/OU=Tomcat/CN=Tomcat/emailAddress=tomcat@apache.comfx08
Getting CA Private Key

以上我们创建的是自签名证书,多用于开发测试环境。在生产中,我们需要向数字证书颁发机构(CA)提交请求文件(server.csr),CA则返回给我们数字证书。这个过程一般是要收费的。 

connector should be using the OpenSSL style configuration  

方法一(简单粗暴)

在为Tomcat添加SSL配置之前,我们需要先创建一个秘钥库。Tomcat支持秘钥库有JKS、PKCS11和PKCS112。JKS是Java标准的秘钥库格式,由keytool命令行工具创建,该工具位于$JAVA_HOME/bin/目录下。

          clientAuth="false" sslProtocol="TLS"   

注意:

配置Tomcat以支持SSL通常只在其作为独立的web服务器时才有必要。当Tomcat作为servlet容器运行与Web服务器后端时,只需要配置前置的Web服务器支持SSL即可。Web服务器负载所有的SSL 相关处理,Tomcat 接收到的请求为解密后的数据,而且返回的响应也是明文,有Web 服务器完成加密。

https://localhost:8443

简介:

在Tomcat的server.xml文件中,已经提供了现成的配置SSL连接器的代码,只要把<Connector>元素的注释去掉即可:

6 将证书导出为pkcs12格式:

[root@ ~]# openssl pkcs12 -export -in server.crt -inkey serverkey.pem -out server.pkcs12

输出如下:

Enter Export Password:

Verifying - Enter Export Password:

根据提示输出一个导出密码

首先会提示输入keystore的密码,这里我输入的密码是sunchis。

方法二(婆婆妈妈)

除此以上方法之外,我们还可以通过OpenSSL创建证书并导入到秘钥库。

注意:绝大多数Linux系统以及默认安装了OpenSSL,Windows系统中,如果你安装了Apache服务器,那样也可以在安装目录的bin文件夹下找到openssl.exe可执行文件。

OpenSSL的命令格式都是 "openssl 命令 命令参数"的形式。

SUN公司提供了制作证书的工具keytool。在JDK 1.4以后的版本中都包含了这一工具,它的位置为<JAVA_HOME>binkeytool.exe。此外,也可以到SUN的网站上下载,下载地址如下:

1创建秘钥库

执行命令如下:

Windows (文件存放于C:cert目录,存放路径也可自己定义):

keytool -genkey -alias tomcat -keyalg RSA -keystore C:certmykey.key.store

Linux(文件存放于/home/liugr/cert目录,存放路径也可自己定义):

keytool -genkey -alias tomcat -keyalg RSA -keystore /home/liuge/cert/mykey.keystore

Enter keystore password: 输入秘钥库口令
Re-enter new password: 再次输入新口令
What is your first and last name? 您的姓氏是什么
[Unknown]: Tomcat
What is the name of your organizational unit? 您的单位名称
[Unknown]: Apache
What is the name of your organization? 您的组织名称
[Unknown]: Apache
What is the name of your City or Locality?省份
[Unknown]: Beijing
What is the name of your State or Province?城市
[Unknown]: Beijing
What is the two-letter country code for this unit? 国家代码
 [Unknown]: CN
Is CN=Tomcat, OU=Apache, O=Apache, L=Beijing, ST=Beijing, C=CN correct? 信息是否正确
[no]: y

Enter key password for <tomcat>                输入Tomcat的秘钥口令
    (RETURN if same as keystore password): 如果和秘钥库口令相同,按回车
 Re-enter new password:

在Linux下,该文件的位置为:homeXuLiang.keystore

10 如果在APR链接器配置SSL,首先需要在server.xml的<Server>下添加监听器AprLifecycleListener:

<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on"

SSLRandomSeed="builtin" userAprConnector="true" />

说明:userAprConnector 为8.5版本新属性,用于启用Apr Connector,8.5版本之前不必配置,默认自动启用

然后,添加SSL链接器配置如下(Tomcat8.5):

<Connector port="8443"
        protocol="org.apache.coyote.http11.Http11NioProtocol"
        maxThreads="150" scheme="https" secure="true" SSLEnabled="true">
  <SSLHostConfig>
       <Certificate certificateKeystoreFile="${catalina.base}/conf/serverkey.pem"
               certificateFile="${catalina.base}/conf/serverkey.crt"
               type="RSA" />
  </SSLHostConfig>
</Connector> 

certificateKeystoreFile 用于配置服务器端秘钥

certificateFile用于配置服务器端证书

至此配置完成

另外,如果希望生成的keystore文件存放在其他目录中,可以再keytool命令中加入-keystore参数,这个参数用来指定keystore文件的存放位置,例如以下命令将在D:下生成名为“sunchis.keystore”的文件:

2 配置server.xml文件

秘钥库密码将在server.xml配置是用到,其他信息作为基本信息,客户端可以通过浏览器查看。命令执行成功后,将生成的mykey.keystore复制到Tomcat的conf目录下。将默认注释的SSL链接器取消注释

8.5版本配置如下(server.xml的88行)

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
              maxThreads="150" scheme="https" secure="true" SSLEnabled="true">
    <SSLHostConfig>
      <Certificate certificateKeystoreFile="conf/mykey.keystore"
              certificateKeystorePassword="123456" ##秘钥库口令
              type="RSA" />
    </SSLHostConfig>
</Connector>

链接器的protocol设置为org.apache.coyote.http11.Http11NioProtocol,以避免Tomcat自动选择HTTP链接器实现(当然,可以根据需要改为NIO2的实现,不能选择APR)

CertificateKeystorePassword为创建秘钥库是填写的秘钥库文件,port为SSL链接器端口,如果要修改为其他端口,必须确保与无SSL得HTTP链接器的redirectPort属性一致。

启动Tomcat,在浏览器中输入https://ip:8443,浏览器会弹出证书提示,接收后才会进入页面,而且通过浏览器还可以查看证书信息。 

证书存放的路径

1 执行以下命名生成根秘钥:

[root@ ~]# openssl genrsa -out rootkey.pem 2048

输出如下:

Generating RSA private key, 2048 bit long modulus
..................   
.....   
e is 65537 (0x10001)

查看证书信息

4 生成服务器端证书的请求文件:

[root@ ~]# openssl req -new -key serverkey.pem -out server.csr

输出如下:

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Apache
Organizational Unit Name (eg, section) []:Tomcat
Common Name (eg, your name or your server's hostname) []:Tomcat
Email Address []:tomcat@apache.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:Tomcat

同样,根据提示,需要输入国家、省份、城市等信息。

          maxThreads="150" scheme="https" secure="true" 

7 执行keytool命令生成服务端秘钥库:

[root@ ~]# keytool -importkeystore -srckeystore server.pkcs12 -destkeystore mykey.keystore -srcstoretype pkcs12

输出如下

Importing keystore server.pkcs12 to mykey.keystore...
Enter destination keystore password:
Enter source keystore password:
Entry for alias 1 successfully imported.
Import command completed: 1 entries successfully imported, 0 entries failed or cancelled

根据提示输入秘钥库密码已经上一步的导出密码。

至此,我们创建了一个mykey.keystore秘钥库文件

这半天创建的相关文件如下

[root@ ~]# ll
total 36
-rw-r--r--. 1 root root 4461 Apr 16 16:41 mykey.keystore
-rw-r--r--. 1 root root 1407 Apr 16 16:21 root.crt
-rw-r--r--. 1 root root 1679 Apr 16 16:14 rootkey.pem
-rw-r--r--. 1 root root 17 Apr 16 16:31 root.srl
-rw-r--r--. 1 root root 1289 Apr 16 16:31 server.crt
-rw-r--r--. 1 root root 1110 Apr 16 16:28 server.csr
-rw-r--r--. 1 root root 1675 Apr 16 16:26 serverkey.pem
-rw-r--r--. 1 root root 2517 Apr 16 16:37 server.pkcs12

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 

证书窗口

实际上,基于SSL的HTTPS使用的默认端口是443。但Tomcat在这里将HTTPS端口设置为8443。<Connector>配置里的一些属性参数如下表:

Tomcat既可以作为独立的Servlet容器,也可以作为其他HTTP服务器附加的Servlet容器。如果Tomcat在非独立模式下工作,通常不必配置SSL,由它从属的HTTP服务器来实现和客户的SSL通信。Tomcat和 ……

以上命令将生产一对非对称密钥和自我签名的证书,这个命令中几个参数的意思如下:

最后要求输入<Tomcat>的主密码,这里设置与keystore相同的密码,因此只需根据提示按回车键即可。

美高梅手机登录网站 4

从图中可以看到证书的“颁发者”和“颁发给”都是同一个人,这说明是自我签名的证书,非权威机构颁发。

通过keytool工具创建证书的命令为:

/> 

如果上述的第一步和第二步已经配置完毕,那么就可以重启Tomcat服务器了,然后从IE浏览器中以HTTPS方式来访问在Tomcat服务器上的任何一个Web应用。现在我们就来访问一下这个地址:

-alias:指定密钥对的别名,该别名是公开的。

如果单击“【否】”按钮,就表示不信任该服务器出示的安全证书,因此浏览器会结束与Tomcat服务器的通信。

          keystoreFile="C:Documents and SettingsXuLiang.keystore" 

-keyalg:指定加密算法,本例中的采用通用的RAS加密算法

tomcat ssl 配置。然后提示输入个人信息,如姓名、组织单位和所在城市等,只要输入真实信息即可。

<tomcat ssl 配置。!—  

keytool -list -keystore "C:Documents and SettingsXuLiang.keystore" 

 

-genkeypair:生成一对非对称密钥。

如果单击“【查看证书】”按钮,将出现证书窗口,如下图:

一、准备安全证书

          keystorePass="SUNCHIS" 

查看已生成的证书的命令为:

证书的详细信息

(2) 配置Tomcat的SSL连接器(Connector)。

二、配置SSL连接器

如果Tomcat作为独立的Java Web服务器,则可以根据安全需要,为Tomcat配置SSL,它包含以下两个步骤:

美高梅手机登录网站 5

从证书的详细信息中可以看出,在证书中公布了证书发送者的身份和公钥。而私钥只有证书发送者拥有,不会向证书接受者公开。

(1) 准备安全证书。

如果单击“【是】”按钮,表示信任Tomcat服务器出示的安全证书,浏览器将建立与Tomcat服务器的SSL会话,Tomcat服务器就会把客户请求的数据发送过来。

美高梅手机登录网站 6

This connector uses the JSSE configuration, when using APR, the   

美高梅手机登录网站 7

接着会提示输入信息是否正确,输入“y”表示信息正确。

keytool生成证书的过程

described in the APR documentation   

C:Documents and SettingsXuLiang.keystore

属 性描  述clientAuth如果设为true,表示Tomcat要求所有的SSL客户出示安全证书,对SSL客户进行身份验证keystoreFile指定keystore文件的存放位置,可以指定绝对路径,也可以指定相对于<CATALINA_HOME>(Tomcat安装目录)环境变量的相对路径。如果此项没有设定,默认情况下,Tomcat将从当前操作系统用户的用户目录下读取名为“.keystore”的文件。keystorePass指定keystore的密码,如果此项没有设定,在默认情况下,Tomcat将使用“changeit”作为默认密码。sslProtocol指定套接字(Socket)使用的加密/解密协议,默认值为TLS,用户不应该修改这个默认值。ciphers指定套接字可用的用于加密的密码清单,多个密码间以逗号(,)分隔。如果此项没有设定,在默认情况下,套接字可以使用任意一个可用的密码。三、访问支持SSL的Web站点

由于SSL技术已建立到绝大多数浏览器和Web服务器程序中,因此,仅需在Web服务器端安装服务器证书就可以激活SSL功能了。

          ciphers="sunchis" 

美高梅手机登录网站 8

当Tomcat收到这一HTTPS请求后,会向客户的浏览器发送服务器的安全证书,IE浏览器接受到证书后,将向客户显示安全警报窗口,如下图:

Define a SSL HTTP/1.1 Connector on port 8443  

tomcat ssl 配置。我在前面的《SSL简介》一文中讲过,获得安全证书有两种方式:一种方式是到权威机构购买,还有一种方式是创建自我签名的证书。这里就介绍第二种获取证书的方式,毕竟免费的嘛!

keytool -genkeypair -alias "tomcat" -keyalg "RSA" –keystore "D:sunchis.keystore" 

本文由美高梅4858官方网站发布,转载请注明来源

关键词: 源代码 tomcat SSL配置