目錄
- 1.tomcat單向認(rèn)證
- 2.tomcat雙向認(rèn)證
在tomcat中存在兩種證書(shū)驗(yàn)證情況 (1)單向驗(yàn)證 (2)雙向驗(yàn)證
1.tomcat單向認(rèn)證
服務(wù)器端會(huì)提供一個(gè)公開(kāi)的公鑰,每一個(gè)訪問(wèn)此服務(wù)器的客戶(hù)端都可以獲得這個(gè)公鑰,此公鑰被加密后,服務(wù)器端可以進(jìn)行解密處理,之后驗(yàn)證是否配對(duì)
配置
在此次配置中用的是openssl自制證書(shū),證書(shū)可以從專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行購(gòu)買(mǎi),本文因?yàn)閷W(xué)習(xí)采用自制證書(shū)
1.進(jìn)入tomcat目錄,編輯server.xml
找到端口號(hào)為433的配置段,433是訪問(wèn)HTTPS的端口號(hào)添加如下內(nèi)容
<Connector port="443" protocol="HTTP/1.1"
maxThreads="150" SSLEnabled="true" schema="https"
secure="true" clientAuth="false" sslProtocol="TLS"
keystoreFile="srv/ftp/cas/server/server.p12"
keystoreType="pkcs12"
keystorePass="sheng123" />
| 內(nèi)容 | 解釋 |
|---|---|
| keystoreFile | 服務(wù)器證書(shū)文件所在位置 |
| keystorePass | 服務(wù)器密碼 |
2.此時(shí)啟動(dòng)tomcat也進(jìn)行https地址的訪問(wèn)
發(fā)現(xiàn)帶有https的端口無(wú)法訪問(wèn)tomcat
3.需要把CA的根證書(shū)導(dǎo)入瀏覽器
把Liunx服務(wù)器中的證書(shū)下載入本地,并且導(dǎo)入到瀏覽器
把根證書(shū)導(dǎo)入瀏覽器
在C:\Windows\System32\drivers\etc加入映射路徑
此時(shí)訪問(wèn)https://cas.com即可,說(shuō)明證書(shū)被成功驗(yàn)證
2.tomcat雙向認(rèn)證
在安全要求較高的網(wǎng)上銀行等網(wǎng)站的開(kāi)發(fā)當(dāng)中,采取雙向驗(yàn)證,在單項(xiàng)驗(yàn)證的基礎(chǔ)上
更注重了,服務(wù)器端對(duì)客戶(hù)端的證書(shū)驗(yàn)證,比如在實(shí)際生活中,銀行會(huì)給一個(gè)"K寶"里面被儲(chǔ)存的是證書(shū),兩向驗(yàn)證操作成功,才可以成功傳遞請(qǐng)求等信息
1.更改server.xml文件(443端口)
<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="/srv/ftp/cas/server/server.p12" keystoreType="pkcs12" keystorePass="sheng123" truststoreFile="/usr/local/tomcat/ca-trust.p12 truststoreType="jks" truststorePass="sheng123"/>
注意:本格式只是采取易看原則, 為了避免出錯(cuò),復(fù)制后需要?jiǎng)h除TAB換行
clientAuth=“true” 必須為true,相當(dāng)于啟動(dòng)客戶(hù)端驗(yàn)證
2.訪問(wèn)cas.com
發(fā)現(xiàn)未導(dǎo)入客戶(hù)端證書(shū)無(wú)法訪問(wèn)
3.在客戶(hù)端瀏覽器添加證書(shū)
從LIUNX下載出已經(jīng)申請(qǐng)好的客戶(hù)端證書(shū)
導(dǎo)入客戶(hù)端瀏覽器中
點(diǎn)擊確認(rèn)
4.訪問(wèn)成功
