共计 8503 个字符,预计需要花费 22 分钟才能阅读完成。
简介:
SSL 协议的 3 个特性:
保密:通过 SSL 链接传输的数据是加密的
鉴别:通信双方的身份鉴别,通常是可选的,但至少有一方需要验证(通常是服务端)
完成性:传输数据的完整性检查
从性能角度考虑,加密是一项计算昂贵的处理,因此尽量不要讲整个 Web 采用 SSL 链接,实际部署中,选择有必要进行安全加密的页面(如存在敏感信息传输的页面)采用 SSL 通信。
接下来相信介绍一下如何在 Tomcat 中添加 SSL 支持。
注意:
配置 Tomcat 以支持 SSL 通常只在其作为独立的 web 服务器时才有必要。当 Tomcat 作为 servlet 容器运行与 Web 服务器后端时,只需要配置前置的 Web 服务器支持 SSL 即可。Web 服务器负载所有的 SSL 相关处理,Tomcat 接收到的请求为解密后的数据,而且返回的响应也是明文,有 Web 服务器完成加密。
Tomcat 实现 SSL 两种方式:
一种是 JSSE,另一种是 APR(默认的 OpenSSL 引擎)。
JSSE 适用于 BIO、NIO、NIO2 链接器(8.5 版本之后,NIO、NIO2 同时支持 OpenSSL,以用于 HTTP/2.0),APR 适用于 APR 链接器。由于 JSSE 和 APR 配置有明显区别,因此我们最好在 Connector 的 protocol 属性中明确指定链接器的类名,而非协议名(如 HTTP/1.1),否则,Tomcat 会自动按照本地配置构造 connector(如果安装了 APR,则适用 APR 链接器,否则使用 NIO 链接器),这样可能导致 SSL 不可用。
方法一(简单粗暴)
在为 Tomcat 添加 SSL 配置之前,我们需要先创建一个秘钥库。Tomcat 支持秘钥库有 JKS、PKCS11 和 PKCS112。JKS 是 Java 标准的秘钥库格式,由 keytool 命令行工具创建,该工具位于 $JAVA_HOME/bin/ 目录下。
1 创建秘钥库
执行命令如下:
Windows(文件存放于 C:\cert 目录,存放路径也可自己定义):
keytool -genkey -alias tomcat -keyalg RSA -keystore C:\cert\mykey.key.storeLinux(文件存放于 /home/liugr/cert 目录,存放路径也可自己定义):
keytool -genkey -alias tomcat -keyalg RSA -keystore /home/liuge/cert/mykey.keystore?
Enter keystore password: 输入秘钥库口令
Re-enter new password: 再次输入新口令
What is your first and last name? 您的姓氏是什么
[Unknown]: Tomcat
What is the name of your organizational unit? 您的单位名称
[Unknown]: Apache
What is the name of your organization? 您的组织名称
[Unknown]: Apache
What is the name of your City or Locality? 省份
[Unknown]: Beijing
What is the name of your State or Province? 城市
[Unknown]: Beijing
What is the two-letter country code for this unit? 国家代码
[Unknown]: CN
Is CN=Tomcat, OU=Apache, O=Apache, L=Beijing, ST=Beijing, C=CN correct? 信息是否正确
[no]: y
Enter key password for <tomcat> 输入 Tomcat 的秘钥口令
(RETURN if same as keystore password): 如果和秘钥库口令相同,按回车
Re-enter new password:
2 配置 server.xml 文件
秘钥库密码将在 server.xml 配置是用到,其他信息作为基本信息,客户端可以通过浏览器查看。命令执行成功后,将生成的 mykey.keystore 复制到 Tomcat 的 conf 目录下。将默认注释的 SSL 链接器取消注释
8.5 版本配置如下(server.xml 的 88 行)
<Connector port=”8443″ protocol=”org.apache.coyote.http11.Http11NioProtocol”
maxThreads=”150″ scheme=”https” secure=”true” SSLEnabled=”true”>
<SSLHostConfig>
<Certificate certificateKeystoreFile=”conf/mykey.keystore”
certificateKeystorePassword=”123456″ ## 秘钥库口令
type=”RSA” />
</SSLHostConfig>
</Connector>
链接器的 protocol 设置为 org.apache.coyote.http11.Http11NioProtocol,以避免 Tomcat 自动选择 HTTP 链接器实现(当然,可以根据需要改为 NIO2 的实现,不能选择 APR)
CertificateKeystorePassword 为创建秘钥库是填写的秘钥库文件,port 为 SSL 链接器端口,如果要修改为其他端口,必须确保与无 SSL 得 HTTP 链接器的 redirectPort 属性一致。
启动 Tomcat,在浏览器中输入 https://ip:8443,浏览器会弹出证书提示,接收后才会进入页面,而且通过浏览器还可以查看证书信息。
方法二
除此以上方法之外,我们还可以通过 OpenSSL 创建证书并导入到秘钥库。
注意:绝大多数 Linux 系统以及默认安装了 OpenSSL,Windows 系统中,如果你安装了 Apache 服务器,那样也可以在安装目录的 bin 文件夹下找到 openssl.exe 可执行文件。
OpenSSL 的命令格式都是 “openssl 命令 命令参数 ” 的形式。
1 执行以下命名生成根秘钥:
[root@ ~]# openssl genrsa -out rootkey.pem 2048 输出如下:
Generating RSA private key, 2048 bit long modulus
………………+++
…..+++
e is 65537 (0x10001)2 创建根证书(用根证书来签发服务器端请求文件):
[root@ ~]# openssl req -x509 -new -key rootkey.pem -out root.crt 输出如下:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Apache
Organizational Unit Name (eg, section) []:Tomcat
Common Name (eg, your name or your server’s hostname) []:Tomcat
Email Address []:tomcat@apache.com
根据提示,需要输入国家、省份、城市、以及公司信息等。
3 创建服务器秘钥:
[root@ ~]# openssl genrsa -out serverkey.pem 2048
输出如下:
Generating RSA private key, 2048 bit long modulus
……………………………………………………+++
…………………………..+++
e is 65537 (0x10001)
4 生成服务器端证书的请求文件:
[root@ ~]# openssl req -new -key serverkey.pem -out server.csr
输出如下:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:Beijing
Locality Name (eg, city) [Default City]:Beijing
Organization Name (eg, company) [Default Company Ltd]:Apache
Organizational Unit Name (eg, section) []:Tomcat
Common Name (eg, your name or your server’s hostname) []:Tomcat
Email Address []:tomcat@apache.com
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:Tomcat
同样,根据提示,需要输入国家、省份、城市等信息。
5 用根证书来签发服务器端请求文件,生成服务器端证书:
[root@ ~]# openssl x509 -req -in server.csr -CA root.crt -CAkey rootkey.pem -CAcreateserial -days 3650 -out server.crt
输出如下:
Signature ok
subject=/C=CN/ST=Beijing/L=Beijing/O=Apache/OU=Tomcat/CN=Tomcat/emailAddress=tomcat@apache.comf\x08
Getting CA Private Key
以上我们创建的是自签名证书,多用于开发测试环境。在生产中,我们需要向数字证书颁发机构(CA)提交请求文件(server.csr),CA 则返回给我们数字证书。这个过程一般是要收费的。
6 将证书导出为 pkcs12 格式:
[root@ ~]# openssl pkcs12 -export -in server.crt -inkey serverkey.pem -out server.pkcs12
输出如下:
Enter Export Password:
Verifying – Enter Export Password:
根据提示输出一个导出密码
7 执行 keytool 命令生成服务端秘钥库:
[root@ ~]# keytool -importkeystore -srckeystore server.pkcs12 -destkeystore mykey.keystore -srcstoretype pkcs12
输出如下
Importing keystore server.pkcs12 to mykey.keystore…
Enter destination keystore password:
Enter source keystore password:
Entry for alias 1 successfully imported.
Import command completed: 1 entries successfully imported, 0 entries failed or cancelled
根据提示输入秘钥库密码已经上一步的导出密码。
至此,我们创建了一个 mykey.keystore 秘钥库文件
这半天创建的相关文件如下
[root@ ~]# ll
total 36
-rw-r–r–. 1 root root 4461 Apr 16 16:41 mykey.keystore
-rw-r–r–. 1 root root 1407 Apr 16 16:21 root.crt
-rw-r–r–. 1 root root 1679 Apr 16 16:14 rootkey.pem
-rw-r–r–. 1 root root 17 Apr 16 16:31 root.srl
-rw-r–r–. 1 root root 1289 Apr 16 16:31 server.crt
-rw-r–r–. 1 root root 1110 Apr 16 16:28 server.csr
-rw-r–r–. 1 root root 1675 Apr 16 16:26 serverkey.pem
-rw-r–r–. 1 root root 2517 Apr 16 16:37 server.pkcs12
8 通过 keytool 的 list 命令,可以查看其包含的证书信息:
根据提示输入秘钥库密码后,既输出秘钥库包含的证书信息
[root@ ~]# keytool -list -v -keystore mykey.keystore 输出如下:
Enter keystore password:
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 2 entries
Alias name: tomcat
Creation date: Apr 16, 2018
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=Tomcat, OU=Apache, O=Apache, L=Beijing, ST=Beijing, C=CN
Issuer: CN=Tomcat, OU=Apache, O=Apache, L=Beijing, ST=Beijing, C=CN
Serial number: 5f59c5e3
Valid from: Mon Apr 16 15:36:30 CST 2018 until: Sun Jul 15 15:36:30 CST 2018
Certificate fingerprints:
MD5: 0E:FB:D2:73:54:89:51:9A:20:96:E8:22:2B:92:36:B6
SHA1: 2C:DF:97:E9:88:85:72:0E:15:68:B1:09:19:76:7E:67:FC:A7:F9:12
SHA256: EE:42:E8:96:CE:E1:B5:A6:2C:EC:57:82:44:3A:A8:AD:A3:89:04:01:C8:E8:85:7D:CA:96:B4:E4:63:87:91:49
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 3
Extensions:
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 3A 8F 05 4C 85 6D 2F EE 1E E6 46 ED AD CC CA A6 :..L.m/…F…..
0010: 06 78 A7 CA .x..
]
]
*******************************************
*******************************************
Alias name: 1
Creation date: Apr 16, 2018
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: EMAILADDRESS=tomcat@apache.com, CN=Tomcat, OU=Tomcat, O=Apache, L=Beijing, ST=Beijing, C=CN
Issuer: EMAILADDRESS=tomcat@apache.com, CN=Tomcat, OU=Tomcat, O=Apache, L=Beijing, ST=Beijing, C=CN
Serial number: 84802670058ff7d5
Valid from: Mon Apr 16 16:31:46 CST 2018 until: Thu Apr 13 16:31:46 CST 2028
Certificate fingerprints:
MD5: 46:F0:86:8A:FB:60:2E:AA:14:E5:AF:7F:8B:05:A2:F5
SHA1: EF:3E:90:08:0D:9E:53:95:4E:4F:36:29:78:05:93:E1:DB:48:CB:A2
SHA256: 8E:B7:51:6D:04:09:24:28:20:68:4F:C3:2A:2E:47:1E:B8:F6:C2:87:D1:55:30:8C:B0:2A:EA:2A:02:8B:09:76
Signature algorithm name: SHA1withRSA
Subject Public Key Algorithm: 2048-bit RSA key
Version: 1
*******************************************
*******************************************
Warning:
The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using “keytool -importkeystore -srckeystore mykey.keystore -destkeystore mykey.keystore -deststoretype pkcs12”.
9 将 mykey.keystore 秘钥库文件按照前文说明的方式部署到 Tomcat 中(非 APR 链接器)。通过浏览器可查看证书信息。
10 如果在 APR 链接器配置 SSL,首先需要在 server.xml 的 <Server> 下添加监听器 AprLifecycleListener:
<Listener className=”org.apache.catalina.core.AprLifecycleListener” SSLEngine=”on”
SSLRandomSeed=”builtin” userAprConnector=”true” />
说明:userAprConnector 为 8.5 版本新属性,用于启用 Apr Connector,8.5 版本之前不必配置,默认自动启用
然后,添加 SSL 链接器配置如下(Tomcat8.5):
<Connector port=”8443″
protocol=”org.apache.coyote.http11.Http11NioProtocol”
maxThreads=”150″ scheme=”https” secure=”true” SSLEnabled=”true”>
<SSLHostConfig>
<Certificate certificateKeystoreFile=”${catalina.base}/conf/serverkey.pem”
certificateFile=”${catalina.base}/conf/serverkey.crt”
type=”RSA” />
</SSLHostConfig>
</Connector>
certificateKeystoreFile 用于配置服务器端秘钥
certificateFile 用于配置服务器端证书
至此配置完成
