java 调用tomcat api,Tomcat采用双向认证https协议通过JavaAPI调用(一)配置SSL
雙向認證(個人理解):
客戶端認證:
客戶端通過瀏覽器訪問某一網站時,如果該網站為HTTPS網站,瀏覽器會自動檢測系統中是否存在該網站的信任證書,如果沒有信任證書,瀏覽器一般會拒絕訪問,IE會有一個繼續訪問的鏈接,但地址欄是紅色,給予用戶警示作用,即客戶端驗證服務端并不是強制性的,可以沒有服務端的信任證書,當然是否繼續訪問完全取決于用戶自己。如何去除地址欄的紅色警告呢?后續會介紹導入服務端證書到瀏覽器的方法。
服務端認證:
服務端需要獲取到客戶端通過瀏覽器發送過來的認證證書,該證書在服務端的證書庫中已存在,僅僅是個匹配過程,匹配成功即通過認證,可繼續訪問網站資源,反之則無法顯示網頁,后續有截圖。
基本邏輯:
1、生成服務端密鑰庫并導出證書;
2、生成客戶端密鑰庫并導出證書;
3、根據服務端密鑰庫生成客戶端信任的證書;
4、將客戶端證書導入服務端密鑰庫;
5、將服務端證書導入瀏覽器。
構建演示系統
演示環境:
JDK:1.8
Tomcat:apache-tomcat-8.0.15
開發工具:MyEclipse 10
一、生成密鑰庫和證書
可參考以下密鑰生成腳本,根據實際情況做必要的修改,其中需要注意的是:服務端的密鑰庫參數“CN”必須與服務端的IP地址相同,否則會報錯,客戶端的任意。
1、生成服務器證書庫
keytool -validity 365 -genkey -v -alias server -keyalg RSA -keystore F:/keys/server.keystore -dname "CN=127.0.0.1,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456
2、生成客戶端證書庫
keytool -validity 365 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore F:/keys/client.p12 -dname "CN=client,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456
3、從客戶端證書庫中導出客戶端證書
keytool -export -v -alias client -keystore F:/keys/client.p12 -storetype PKCS12 -storepass 123456 -rfc -file F:/keys/client.cer
4、從服務器證書庫中導出服務器證書
keytool -export -v -alias server -keystore F:/keys/server.keystore -storepass 123456 -rfc -file F:/keys/server.cer
5、生成客戶端信任證書庫(由服務端證書生成的證書庫)
keytool -import -v -alias server -file F:/keys/server.cer -keystore F:/keys/client.truststore -storepass 123456
6、將客戶端證書導入到服務器證書庫(使得服務器信任客戶端證書)
keytool -import -v -alias client -file F:/keys/client.cer -keystore F:/keys/server.keystore -storepass 123456
7、查看證書庫中的全部證書
keytool -list -keystore F:/keys/server.keystore -storepass 123456
二、Tomat配置
使用文本編輯器編輯${catalina.base}/conf/server.xml
找到Connector port="8443"的標簽,取消注釋,并修改成如下:
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="${catalina.base}/key/server.keystore" keystorePass="123456"
truststoreFile="${catalina.base}/key/server.keystore" truststorePass="123456"/>
備注:
keystoreFile:指定服務器密鑰庫,可以配置成絕對路徑,如“D:/key/server.keystore”,本例中是在Tomcat目錄中創建了一個名稱為key的文件夾,僅供參考。
keystorePass:密鑰庫生成時的密碼
truststoreFile:受信任密鑰庫,和密鑰庫相同即可
truststorePass:受信任密鑰庫密碼
使用瀏覽器訪問:
將step.2(client.p12)雙擊,導入到個人證書。
完成之后就可以通過 https://127.0.0.1:8443訪問了
配置web.xml強制使用https訪問
SSL
/*
CONFIDENTIAL
總結
以上是生活随笔為你收集整理的java 调用tomcat api,Tomcat采用双向认证https协议通过JavaAPI调用(一)配置SSL的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 理解浏览器是如何加载及渲染网页的
- 下一篇: ORACLE sqlplus设置行数和宽