走自己的路

路漫漫其修远兮,吾将上下而求索

  BlogJava :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理 ::
  50 随笔 :: 4 文章 :: 118 评论 :: 0 Trackbacks
 

网上大多数文章都是用keytool生成自签名根证书,将根证书配置在tomcatserver.xml中。我不太喜欢用keytool,原因:
1.
我们可能换provider,不同的provider会有不同的算法实现,算法的安全性和性能也可能不同,通过代码生成比较方便一些,不同算法的实现要放在classpath上。
2.
通过代码生成还有一个好处,会对整个流程理解的比较清楚,实现的原理到底是怎样的。

 

要用到https,也就是TLS或者SSL,我们需要有证书,要么是法定证书机构(VeriSign,中国估计也有代理)给你签发的可信证书,要么自己给自己颁发一个根证书。自己给自己颁发的证书,浏览器是不信任的,会弹出一个提示框。

 

SSL认证分为双向认证和单向认证(客户端认证服务器),一般做网站单向认证就可,客户端要认证服务器端的证书,认证通过,通过非对称加密算法交换秘密密钥,以后的通信数据通过秘密密钥加密。

 

所以说要想用https,就得现有证书。有证书就得现有公私钥。

    public static KeyPair generateKeyPair() throws NoSuchAlgorithmException,

           NoSuchProviderException {

       // create the keys

       KeyPairGenerator generator = KeyPairGenerator.getInstance("RSA");

       generator.initialize(1024, new SecureRandom());

       return generator.generateKeyPair();

    }

 

 

 

有了公私钥,接着就生成证书。

    public static X509Certificate generateX509V3RootCertificate(KeyPair pair)

           throws NoSuchAlgorithmException, NoSuchProviderException,

           CertificateEncodingException, InvalidKeyException,

           IllegalStateException, SignatureException {

       X509V3CertificateGenerator certGen = new X509V3CertificateGenerator();

        certGen.setSerialNumber(BigInteger.valueOf(System.currentTimeMillis()));

       certGen.setIssuerDN(new X500Principal(

              "CN=localhost, OU=Ldd600 Blog, O=SHA, C=cn"));

       certGen.setNotBefore(new Date(System.currentTimeMillis() - 5000L));

       certGen.setSubjectDN(new X500Principal(

              "CN=localhost, OU=Ldd600 Blog, O=SHA, C=cn"));

       certGen.setPublicKey(pair.getPublic());

       certGen.setSignatureAlgorithm("SHA1WithRSA");

       certGen.setNotAfter(new Date(System.currentTimeMillis()

              + Integer.MAX_VALUE));

       return certGen.generate(pair.getPrivate(), new SecureRandom());

    }

 

    public static X500PrivateCredential createRootCredential(KeyPair rootPair)

           throws Exception {

       X509Certificate rootCert =

              generateX509V3RootCertificate(rootPair);

       return new X500PrivateCredential(rootCert, rootPair.getPrivate());

    }

 

有了证书,我们要将证书存储起来,根证书是自签名的证书,凡是通过根证书签名颁发的证书都是可信任的。根证书需要添加到信任证书链中。而根证书我们自己给自己签名的证书是给SSL协议用的。

KeyStore是用来保存key,证书的。

Tomcatkeystore有两个

Server keystore: 存放的是服务器用的公私钥key

Trust keystore:存放的是所有确定信任的证书。自己给自己颁发的证书当然是值得我们自己信任的。以后可以用来认证通信的另外一方,不过单向认证应该用不到,

 

publicstaticvoid main(String[] args) throws Exception {

      

       //trustsotre, my root certificate

       KeyStore store = KeyStore.getInstance("JKS");

       // initialize

        store.load(null, null);

        KeyPair rootPair = generateKeyPair();

       X500PrivateCredential rootCredential = createRootCredential(rootPair);

       store.setCertificateEntry(TRUST_STORE_NAME, rootCredential.getCertificate());

       store.store(

                new FileOutputStream(TRUST_STORE_NAME + ".jks"),

                TRUST_STORE_PASSWORD);

       // server credentials

       store = KeyStore.getInstance("JKS");

       store.load(null, null);

        store.setKeyEntry(

          SERVER_NAME, rootCredential.getPrivateKey(), SERVER_PASSWORD,

                new Certificate[] { rootCredential.getCertificate() });

        store.store(

          new FileOutputStream(SERVER_NAME + ".jks"), SERVER_PASSWORD);

    }

 

KeyStore文件配置在tomcatserver.xml

  <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="false" sslProtocol="TLS"

                 keystoreFile="conf/server.jks" keystorePass="serverPassword" truststoreFile ="conf/trustStore.jks" truststorePass="trustPassword"/>

 

启动tomcat即可

 

打开URL看看效果吧。



 

点是,就可以打开网页了。

 



posted on 2010-08-14 01:06 叱咤红人 阅读(2733) 评论(1)  编辑  收藏 所属分类: Other Java and J2EE frameworks

评论

# re: 不用keytool,tomcat打开https 2010-08-16 10:22 shaiehv
曙海嵌入式学院提供以下课程的培训--中国最大的FPGA,DSP和3G手机通信培训机构:
FPGA培训,DSP培训,MTK培训,Android培训,Symbian培训,iPhone培训,单片机培训,Candence PCB培训,Vxworks培训等。
网址: http://www.51qianru.cn
上海总部电话:021-51875830 深圳:0755-61280252 北京:010-51292078 南京:025-68662821  回复  更多评论
  


只有注册用户登录后才能发表评论。


网站导航: