Tomcat:配置SSL

SSL简述

SSL就是安全套接字层,是一种允许web浏览器和 web服务器通过安全连接通信的技术。这是一个双向的过程,这意味着 服务器和浏览器在发送数据之前加密所有交流的数据。

SSL有一个重要的特点,就是需要认证。也就是说当使用Web浏览器访问Server时,Server会提供给浏览器一个证书。

在使用tomcat时,存在下面几种情况:

1)默认情况下,是不启用SSL的,通过https协议访问应用肯定是失败的。

2)只启用SSL时,只能通过https协议来访问。(这里不说AJP)

3)同时启用HTTP,HTTPS,就可以通过HTTP与HTTPS同时访问了。

生成keystore

证书是需要有密钥库来支撑,KeyStore文件就代表了密钥库。Key文件有多种形式,目前Tomcat支持的keystore有:JKS,PKCS11,PKCS12。其中JKS是java keystore,是由java实现的,可以通过jdk/bin/keytool工具创建keystore文件。PKCS12是一个网络标准,可以通过OpenSSL、Microsoft的Key-Manager来管理。

下面就使用JKS来作用密钥库格式。

-keyalg是生成公钥、私钥的算法。常用的有RSA、DSA等。

使用上述使用时密码必须是一致的,这一点是Tomcat要求的。其中第一个密码是keystore文件的密码,访问这个文件需要有密码的,最后的密码是生成的key的密码。

生成的keystore文件的位置,默认是在${user.home}/.keystore,如果想要改变位置,可以使用命令:

在server.xml配置SSL

KeystorePass就是keystore文件的访问密码。你可以修改为其它的。

keystoreFIle就是keystore文件的位置,让tomcat启动时找到密钥库。

测试

测试1:只启用HTTPS,不启用HTTP

在server.xml中,为8080端口的Connector加上注释,并且去掉8443端口的Connector的注释。然后启动tomcat。

分别通过http\https访问docs:

http://localhost:8080/docshttps://localhost:8443/docs

结果:只有https可以访问。

测试2:HTTP、HTTPS同时启用

在server.xml中,去掉8080、8443端口的Connector的注释然后启动tomcat。

分别用http\https访问docs:

http://localhost:8080/docshttps://localhost:8443/docs

结果:两者都可正常访问。

redirectPort作用

先看看tomcat官方文档是如何解释的:

If this Connector is supporting non-SSL requests, and a request is received for which a matching <security-constraint> requires SSL transport, Catalina will automatically redirect the request to the port number specified here.

  如果当前的connector支持非SSL请求(也就是可以以http方法访问),并且请求的资源与web.xml中<security-constraint>中指定的url匹配时,Catalina就会自动的将请求重写向到redirectport指定端口。redirectport配置是SSL connector的端口。

security-constraint 下配置的url是用于对访问者进行身份认证的配置,怎么又与SSL有关了呢?

带着这个疑问,来看看oracle官方文档中关于web.xml描述:

> web-resource-collection是配置url的。

> auth-constraint是配置身份认证的。

> user-data-constraint是用于定义客户端与server通信时对数据的处理方式。

下面是user-data-constrain下的子元素:

Transport-guarantee 值中涉及到SSL的有2个:integral、confidential:

Integral:要求client与server之间传输的数据不能被篡改。

Confidential:要求client与server之间传输的数据会被转换,不能够直接看到原始内容。

时间: 2024-10-29 03:22:18

Tomcat:配置SSL的相关文章

图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证

1. 安装 nginx 1.1 nginx 包及其依赖包下载 出于模块的依赖性,Nginx 依赖以下三个包: gzip 模块需要 zlib 库(http://www.zlib.net/): rewrite 模块需要 pcre 库(http://www.pcre.org/): ssl 功能需要 openssl 库(http://www.openssl.org/): 分别下载它们的最新稳定版(截至本文最新稳定版分别是 zlib-1.2.8.tar.gz.pcre-8.36.tar.gz.openss

Tomcat配置SSL(8443

创建证书 证书是单点登录认证系统中很重要的一把钥匙,客户端于服务器的交互安全靠的就是证书:本教程由于是演示所以就自己用JDK自带的keytool工具生成证书:如果以后真正在产品环境中使用肯定要去证书提供商去购买,证书认证一般都是由VeriSign认证,中文官方网站:http://www.verisign.com/cn/ 用JDK自带的keytool工具生成证书: keytool -genkey -alias wsria -keyalg RSA -keystore d:/keys/wsriakey

tomcat配置SSL双向认证

一.SSL简单介绍 SSL(Secure Sockets Layer 安全套接层)就是一种协议(规范),用于保障客户端和服务器端通信的安全,以免通信时传输的信息被窃取或者修改. 怎样保障数据传输安全?  客户端和服务器端在进行握手(客户端和服务器建立连接和交换参数的过程称之为握手)时会产生一个“对话密钥”(session key),用来加密接下来的数据传输,解密时也是用的这个“对话密钥”,而这个“对话密钥”只有客户端和服务器端知道.也就是说只要这个“对话密钥”不被破解,就能保证安全. 2. 客户

tomcat配置SSL

一.Keytool介绍 Keytool是一个Java数据证书的管理工具.Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里,包含两种数据: 密钥实体(Key entity)——密钥(secret key)又或者是私钥和配对公钥(采用非对称加密) 可信任的证书实体(trusted certificate entries)——只包含公钥 Alias(别名):每个keystore都关联这一个独一无二的alias,这个alias通常不

TOMCAT配置SSL双向握手

1.利用jre中的keytool工具生成服务器证书. 2. 配置tomcat的server.xml文件,利用keytool生成的证书即当根证,也当服务器证书使用. 3.将自建CA根证书导入到tomcat.keystore信任域中.作用:使根证信任自建CA所签发的用户证书实现SSL双向握手. 4.到此tomcat的双向SSL握手功能配置完毕. 5.tomcat支持单向/双向SSL同时开启.

TOMCAT配置SSL双向单向握手

1.利用jre中的keytool工具生成服务器证书. 2.配置tomcat的server.xml文件,利用keytool生成的证书即当根证,也当服务器证书使用. 3.将自建CA根证书导入到tomcat.keystore信任域中.作用:使根证信任自建CA所签发的用户证书实现SSL双向握手. 4.到此tomcat的双向SSL握手功能配置完毕. 5.tomcat支持单向/双向SSL同时开启. ? ?

Tomcat 配置SSL

在网上搜了一下,内容不是很完善.现进行整理,做个学习笔记,以备以后使用. (1)进入到jdk下的bin目录 (2)输入如下指令“keytool -v -genkey -alias tomcat -keyalg RSA -keystore d:/tomcat.keystore” d:/tomcat.keystore是将生成的tomcat.keystore放到d盘根目录下.注意若要放到c盘,在win7系统下,需要以管理员身份进入到命令行中进行操作,否则是无法创建tomcat.keystore的.本例

[从零开始搭网站六]为域名申请免费SSL证书(https),并为Tomcat配置https域名所用的多SSL证书

点击下面连接查看从零开始搭网站全系列 从零开始搭网站 由于国内的网络环境比较恶劣,运营商流量劫持的情况比较严重,一般表现为别人打开你的网站的时候会弹一些莫名其妙的广告...更过分的会跳转至别的网站. 那么为了解决这种情况,那么我们就要申请SSL证书,并且配置服务器. 并且,我准备再学习并写一个微信小程序,而微信小程序所有接口都需要走https,那么全线https就势在必行. 目前免费https其实有很多家,我之前出过一个教程是 用Let's Encrypt实现Https(Windows环境+To

配置Tomcat使用https协议(配置SSL协议)

内容概览: 如果希望 Tomcat 支持 Https,主要的工作是配置 SSL 协议 1.生成安全证书 2.配置tomcat --------------------------------------------------------------------------------------------------------------------------- 预备知识: sso cas ssl https ca ------------------------------------

Tomcat服务器配置https协议(Tomcat HTTPS/SSL 配置)

通常商用服务器使用https协议需要申请SSL证书,证书都是收费的,价格有贵的有便宜的.它们的区别是发行证书的机构不同,贵的证书机构更权威,证书被浏览器否决的几率更小. 非商业版本可以通过keytool来生成. 用keytool工具生成证书与配置 1.相关工具说明 此处使用1.7.0_79版本,如图所示: 切换到jdk bin目录下面,如图: 证书密钥生成 1.创建证书 keytool -genkey -alias [your_alias_name] -keyalg RSA -keystore