tomcat配置https | 自签发证书配置

未配置证书的访问：

 

生成证书：

 

Keytool：

 

生成数字证书：自签名X509证书

PS F:\开发工具\apache-tomcat-9.0.11\conf> keytool -genkeypair -keyalg RSA -keysize 2048 -sigalg SHA1withRSA -validity 36

000 -alias org.windwant.com -keystore windwant.store

输入密钥库口令:

再次输入新口令:

您的名字与姓氏是什么?

  [Unknown]:  org.windwant.com

您的组织单位名称是什么?

  [Unknown]:  ca

您的组织名称是什么?

  [Unknown]:  ca

您所在的城市或区域名称是什么?

  [Unknown]:  ca

您所在的省/市/自治区名称是什么?

  [Unknown]:  ca

该单位的双字母国家/地区代码是什么?

  [Unknown]:  ca

CN=org.windwant.com, OU=ca, O=ca, L=ca, ST=ca, C=ca是否正确?

  [否]:  y

 

输入 <org.windwant.com> 的密钥口令

        (如果和密钥库口令相同, 按回车):

再次输入新口令:

genkeypair：生成秘钥；keyalg：秘钥算法；keysize：秘钥长度；sigalg：数字签名算法；validity：有效期；alias：别名；keystore：存储位置

 

注意：标黑位置，证书授予者使用的域名或ip，如访问使用：https://org.windwant.com:8443

     

          org.windwant.com 需要在host文件里进行配置；127.0.0.1 org.windwant.com

 

导出：

PS F:\开发工具\apache-tomcat-9.0.11\conf> keytool -exportcert -alias org.windwant.com -keystore windwant.store -file win

dwant.cer -rfc

输入密钥库口令:

存储在文件 <windwant.cer> 中的证书

 

openssl:

 

创建随机数：

[root@zookeeper cert]# openssl rand -out private/.rand 1000

 

生成私钥：

[root@zookeeper cert]# openssl genrsa -aes256 -out private/ca.key.pem 2048

openssl使用PEM编码格式（privacy enbanced mail）存储私钥；genrsa：生成RSA私钥；aes256：使用aes（256位秘钥）对私钥加密

 

根证书签发申请：

[root@zookeeper cert]# openssl req -new -key private/ca.key.pem -out private/ca.csr

...

Country Name (2 letter code) [XX]:cn

State or Province Name (full name) []:bj

Locality Name (eg, city) [Default City]:bj

Organization Name (eg, company) [Default Company Ltd]:localhost

Organizational Unit Name (eg, section) []:localhost

Common Name (eg, your name or your server's hostname) []:localhost

Email Address []:localhost

...

req：产生证书签发申请命令；new：新请求；key：秘钥；

 

localhost：证书授予者使用的域名或ip

 

签发根证书：

[root@zookeeper cert]# openssl x509 -req -days 10000 -sha1 -extfile /etc/pki/tls/openssl.cnf -extensions v3_ca -signkey private/ca.key.pem -in private/ca.csr  -out certs/ca.cer

x509：签发x509格式证书命令；req：证书输入请求；days：有效期；sha1：证书摘要算法；extfile：配置文件；extensions：添加扩展 使用v3_ca扩展；signkey：自签名秘钥；in：签发申请文件；out：证书文件

 

秘钥库使用两种方式：

 

>1 证书转换为pkcs12（个人信息交换文件）格式，可以作为秘钥库或者信任库使用： tomcat配置keystoreFile="conf/ca.p12"

[root@zookeeper cert]# openssl pkcs12 -export -cacerts -inkey private/ca.key.pem  -in certs/ca.cer -out certs/ca.p12

[root@zookeeper cert]# keytool -list -keystore certs/ca.p12   //查看秘钥库信息

Enter keystore password:  

 

Keystore type: JKS

Keystore provider: SUN

 

Your keystore contains 1 entry

 

1, Aug 28, 2018, PrivateKeyEntry,

Certificate fingerprint (SHA1): A9:34:42:EE:AC:9C:06:E0:2B:AF:91:64:20:7F:10:FB:0A:40:07:DD

 

>2 生成keystore：tomcat配置keystoreFile="conf/ca.store"

[root@zookeeper cert]# keytool -genkey -keystore ca.store

[root@zookeeper cert]# keytool -list -keystore .\windwant.store  //查看秘钥库信息

输入密钥库口令:

 

密钥库类型: JKS

密钥库提供方: SUN

 

您的密钥库包含 1 个条目

 

org.windwant.com, 2018-8-28, PrivateKeyEntry,

证书指纹 (SHA1): CE:CD:6B:07:29:19:77:B1:2B:B6:4C:6B:1E:B5:76:C7:42:E3:08:14

 

导入openssl生成的证书：

[root@zookeeper cert]# keytool -importcert -trustcacerts -alias localhost -file ca.cer -keystore ca.store

 

配置tomcat：

 

对于端口8443 添加如下配置：秘钥库路径，密码

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"

               maxThreads="150" SSLEnabled="true" sslProtocal="TLS" keystoreFile="conf/windwant.store" keystorePass="123456">

        <!-- <SSLHostConfig>

            <Certificate certificateKeystoreFile="D:/tmp/cert/windwant.cer"

                         type="RSA" />

        </SSLHostConfig> -->

    </Connector>

 

浏览器导入证书：

 

注意：添加到受信任的根证书颁发机构

 

访问：不再提示证书问题