成人AV在线无码|婷婷五月激情色,|伊人加勒比二三四区|国产一区激情都市|亚洲AV无码电影|日av韩av无码|天堂在线亚洲Av|无码一区二区影院|成人无码毛片AV|超碰在线看中文字幕

keytool tomcat6配置HTTPS雙向證書(shū)SSL認(rèn)證

2017-03-27
7988

keytool tomcat6配置HTTPS雙向證書(shū)SSL認(rèn)證(詳見(jiàn)網(wǎng)址http://www.doc88.com/p-007207708994.html)在Tomcat6中配置SSL雙向認(rèn)證是相當(dāng)容易

keytool tomcat6配置HTTPS雙向證書(shū)SSL認(rèn)證(詳見(jiàn)網(wǎng)址http://www.doc88.com/p-007207708994.html)

在Tomcat6中配置SSL雙向認(rèn)證是相當(dāng)容易的,本文將介紹如何使用JDK的keytool來(lái)為T(mén)omcat配置雙向SSL認(rèn)證。

系統(tǒng)需要:
JDK 5.0
Tomcat 6.0.16

定為到你要生成keystore的路徑

第一步:為服務(wù)器生成證書(shū)

使用keytool為T(mén)omcat生成證書(shū),假定目標(biāo)機(jī)器的域名是“l(fā)ocalhost”,keystore文件存放在“C:tomcat.keystore”,口令為“password”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -keystore tomcat.keystore
----linux---- keytool -genkey -alias tomcat -keyalg RSA -keystore /usr/local/ca/tomcat.keystore -validity 365
---windows---keytool -genkey -v -alias tomcat -keyalg RSA -keystore "D:/Program Files/ca/forLinux/tomcat.keystore"

如果Tomcat所在服務(wù)器的域名不是“l(fā)ocalhost”,應(yīng)改為對(duì)應(yīng)的域名,如“www.sina.com.cn”,否則瀏覽器會(huì)彈出警告窗口,提示用戶證書(shū)與所在域不匹配。在本地做開(kāi)發(fā)測(cè)試時(shí),應(yīng)填入“l(fā)ocalhost”。

第二步:為客戶端生成證書(shū)

下一步是為瀏覽器生成證書(shū),以便讓服務(wù)器來(lái)驗(yàn)證它。為了能將證書(shū)順利導(dǎo)入至IE和Firefox,證書(shū)格式應(yīng)該是PKCS12,因此,使用如下命令生成:

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore c:my.p12
----windows---- keytool -genkey -v -alias zhanglc3 -keyalg RSA -storetype PKCS12 -keystore "D:/Program Files/ca/client/zhanglc3.p12"
----linux---- keytool -genkey -v -alias zhangyj -keyalg RSA -storetype PKCS12 -keystore /usr/local/ca/client/zhangyj.p12 -dname "CN=zhangyj,OU=ft,O=ft,L=bj,ST=bj,C=CN" -keypass zhang123456 -storepass zhang123456

----my---- echo -e "192.168.100.227nftnftnbjnbjnCNny" | keytool -genkey -v -alias zhang3 -keyalg RSA -storetype PKCS12 -keystore /usr/local/ca/client/zhang3.p12 -keypass zhang123456 -storepass zhang123456

對(duì)應(yīng)的證書(shū)庫(kù)存放在“C:my.p12”,客戶端的CN可以是任意值。稍候,我們將把這個(gè)“my.p12”證書(shū)庫(kù)導(dǎo)入到IE和Firefox中。

第三步,讓服務(wù)器信任客戶端證書(shū)

由于是雙向SSL認(rèn)證,服務(wù)器必須要信任客戶端證書(shū),因此,必須把客戶端證書(shū)添加為服務(wù)器的信任認(rèn)證。由于不能直接將PKCS12格式的證書(shū)導(dǎo)入,我們必須先把客戶端證書(shū)導(dǎo)出為一個(gè)單獨(dú)的CER文件,使用如下命令:

keytool -export -alias mykey -keystore my.p12 -storetype PKCS12 -storepass password -rfc -file c:my.cer
---windows--- keytool -export -alias zhanglc3 -keystore "D:/Program Files/ca/client/zhanglc3.p12" -storetype PKCS12 -storepass zhang123456 -rfc -file "D:/Program Files/ca/cer/zhanglc3.cer"
---linux--- keytool -export -alias zhanglc -keystore /usr/local/ca/client/zhanglc.p12 -storetype PKCS12 -storepass zhang123456 -rfc -file /usr/local/ca/CER/zhanglc.cer


通過(guò)以上命令,客戶端證書(shū)就被我們導(dǎo)

標(biāo)簽:

相關(guān)推薦