实战Tomcat配置SSL,使用openssl制作证书

制作证书以及Tomcat配置

  1. 搭建openssl环境,下载openssl并设置环境变量方便命令行的使用;
  2. 修改openssl配置文件,设置dir目录,如设置dir=e:/temp/openssl_ca,然后根据配置文件分别建立子目录:certs、crl、newcerts、private分别用来存放签发的证书、吊销的证书、证书申请、私钥; 
    cd /d e:\temp\openssl_ca
mkdir certs
mkdir crl
mkdir newcerts
mkdir private
  3. 根据配置文件,需要建立索引文件、序列号文件、随机数文件: 
    cd /d e:\temp\openssl_ca
echo 0 > index.txt
echo 01 > serial
openssl rand -out private/.rand 1000
  4. 构建根证书密钥 
    openssl genrsa -des3 -out private/ca.key.pem 2048
    密码是:oseye
  5. 构建根证书申请 
    openssl req -new -key private/ca.key.pem -out newcerts/ca.csr -subj "/C=CN/ST=GD/L=SZ/O=oseye/OU=oseye/CN=*.oseye.net"
  6. 签发根证书 
    openssl x509 -req -days 100000 -sha1 -signkey private/ca.key.pem -in newcerts/ca.csr -out certs/ca.cer
  7. 构建服务器密钥 
    openssl genrsa -des3 -out private/mobile.key.pem 2048
    密码是:oseyemobile
  8. 构建服务器证书申请 
    openssl req -new -key private/mobile.key.pem -out newcerts/mobile.csr -subj "/C=CN/ST=GD/L=SZ/O=oseye/OU=oseye/CN=mobile.oseye.net"
  9. 签发服务器证书 
    openssl x509 -req -days 100000 -sha1 -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in newcerts/mobile.csr -out certs/mobile.cer
    此处为了安全可言采用sha512来签名,更多签名算法参见这里
    openssl x509 -req -days 100000 -sha512 -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in newcerts/mobile.csr -out certs/mobile.cer
  10. 转换成java可用的格式 
    openssl pkcs12 -export -clcerts -inkey private/mobile.key.pem -in certs/mobile.cer -out certs/mobile.p12
    Export密码:oseyep12
  11. 使用keytool查看 
    keytool -list -keystore certs/mobile.p12 -storetype pkcs12 -v -storepass oseyep12
  12. 修改tomcat的配置文件server.xml 
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
	       keystoreFile="/var/oseye2.0/certs/mobile.p12" 
	       keystorePass="oseyep12" 
	       keystoreType="PKCS12" />
    通过./catalina.sh configtest来检测配置结果。
  13. 站点http自动到https的配置
    在web.xml中 
    <security-constraint>  <web-resource-collection > 
		<web-resource-name >SSL</web-resource-name> 
		<url-pattern>/*</url-pattern> 
	</web-resource-collection>

	<user-data-constraint> 
		<transport-guarantee>CONFIDENTIAL</transport-guarantee> 
	</user-data-constraint> 
</security-constraint>

Tomcat在debian中的一点点PS

  1. 安装命令: 
    apt-get install tomcat7
  2. tomcat7配置文件:/etc/tomcat7/
    tomcat7日志文件:/var/log/tomcat7
    tomcat7 web默认webapps:/var/lib/tomcat7/webapps
  3. 修改使用sun jdk,需要在/etc/default/tomcat7添加修改变量:JAVA_HOME=/usr/oseye/lib/jvm/jdk1.7.0_67

TCP的三次握手以及状态的补充

可参考TCP的状态 (SYN, FIN, ACK, PSH, RST, URG)TCP协议中的三次握手和四次挥手(图解)

posted @ 2015-06-26 16:17  码农神说  阅读(731)  评论(2编辑  收藏  举报