写点什么

使用 keytool 生成 Tomcat 证书

作者:源字节1号
  • 2022-11-24
    浙江
  • 本文字数:1499 字

    阅读完需:约 5 分钟

使用keytool生成Tomcat证书

一、HTTPS 原理

1、HTTP、HTTPS、SSL、TLS 介绍与相互关系

(1)HTTP:平时浏览网页时候使用的一种协议。HTTP 协议传输的数据都是未加密的(明文),因此使用 HTTP 协议传输隐私信息非常不安全。

(2)HTTPS:为了保证隐私数据能加密传输,采用 SSL/TLS 协议用于对 HTTP 协议传输的数据进行加密,也就是 HTTPS。

(3)SSL:SSL(Secure Sockets Layer)协议是由网景公司设计,后被 IETF 定义在 RFC 6101 中。目前的版本是 3.0。

(4)TLS:TLS 可以说是 SSL 的改进版。是由 IETF 对 SSL 3.0 进行了升级而出现的,定义在 RFC 2246。实际上我们现在的 HTTPS 都是用的 TLS 协议。

2、TLS/SSL 特点

(1)HTTPS 在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。

(2)TLS/SSL 中使用了非对称加密,对称加密以及 HASH 算法。

其中非对称加密算法用于在握手过程中加密生成的密码,对称加密算法用于对真正传输的数据进行加密,而 HASH 算法用于验证数据的完整性。

(3)TLS 握手过程中如果有任何错误,都会使加密连接断开,从而阻止了隐私信息的传输。

二、证书的生成

下面演示如何使用 Tomcat 服务器,通过 HTTPS 进行双向认证。证书的话这里使用 keytool 生成自签名证书。

(注意:如果真正的商用系统建议使用向 CA 付费购买的证书。因为如果使用自签名证书的话,客户端对服务器的验证其实是抛给用户来判断(用户自己决定信任还是不信任))

1、生成服务器证书

使用 keytool 为 Tomcat 生成证书

keytool -genkey -v -alias tomcat -keyalg RSA -keystore G:\tomcat.keystore -validity 36500
复制代码

(参数说明:“G:\tomcat.keystore”含义是将证书文件的保存路径,证书文件名称是 tomcat.keystore;“-validity 36500”含义是证书有效期,36500 表示 100 年,默认值是 90 天;“tomcat”为自定义证书名称)



输入密钥库口令:keystore 密码(假设使用 sourcebyte)

您的名字与姓氏是什么:必须是 TOMCAT 部署主机的域名或者 IP[如:sourcebyte.cn](就是你将来要在浏览器中输入的访问地址),否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”。

输入 <tomcat> 的密钥口令:直接回车

2、生成客户端证书

为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至 IE 和 Firefox,证书格式应该是 PKCS12,因此,使用如下命令生成:

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore G:\mykey.p12
复制代码

3、让服务器信任客户端证书

服务器要信任客户端证书,必须把客户端证书添加为服务器的信任认证。由于不能直接将 PKCS12 格式的证书库导入,必须先把客户端证书导出为一个单独的 CER 文件,使用如下命令:

keytool -keystore G:\tomcat.keystore -export -alias tomcat -file G:\tomcat.cer
复制代码

三、证书的使用

打开 Tomcat 根目录下的/conf/server.xml,找到 Connector port="8443"配置段,修改为如下:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"    SSLEnabled="true" maxThreads="150" scheme="https"    secure="true" clientAuth="true" sslProtocol="TLS"    keystoreFile="G:\\tomcat.keystore" keystorePass="sourcebyte"/>
复制代码

但由于是自签名的证书,所以浏览器会警告我们不安全,选择继续好了。由于是自签名的证书,为避免每次都提示不安全。这里双击 tomcat.cer 安装服务器证书。将证书填入到“受信任的根证书颁发机构”。再次重新访问服务器,会发现没有不安全的提示了,同时浏览器地址栏上也有个“锁”图标,表示本次会话已经通过 HTTPS 双向验证。


如若转载,请注明出处:开源字节   https://sourcebyte.cn/article/270.html

用户头像

源字节1号

关注

一个着迷于技术又喜欢不断折腾的技术活跃者 2022-03-09 加入

一个着迷于技术又喜欢不断折腾的技术活跃者。喜欢并热爱编程,执着于努力之后所带来的美好生活!

评论

发布
暂无评论
使用keytool生成Tomcat证书_源字节1号_InfoQ写作社区