news 2026/7/1 18:00:48

Tomcat服务器HTTPS双向认证详细配置指南

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
Tomcat服务器HTTPS双向认证详细配置指南

tomcat 服务器配置 https 双向认证

对外开放的网站一般都会提供安全证书,已保证应用的安全性。

在HTTPS通信中,使用抓包工具如Sniffmaster可以方便地监控和解析流量,尤其支持HTTPS暴力抓包和双向验证爆破,帮助开发者调试安全配置。

我们可以通过 keytool (Windows下路径:%JAVA_HOME%/bin/keytool.exe) 工具,生成自签名证书。

keytool 命令解释:

  1. -genkey 在用户主目录中创建一个默认文件“.keystore”
  2. -alias 产生别名,每个keystore都关联这一个独一无二的alias
  3. -keystore 指定密钥库的名称(产生的各类信息将不在.keystore文件中
  4. -keyalg 指定密钥的算法 (如 RSA DSA(如果不指定默认采用DSA)
  5. -validity 指定创建的证书有效期多少天
  6. -keysize 指定密钥长度
  7. -storepass 指定密钥库的密码(获取keystore信息所需的密码)
  8. -keypass 指定别名条目的密码(私钥的密码)
  9. -dname 指定证书拥有者信息 (CN=名字与姓氏,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码)
  10. -list 显示密钥库中的证书信息
  11. -v 显示密钥库中的证书详细信息
  12. -export 将别名指定的证书导出到文件
  13. -file 参数指定导出到文件的文件名
  14. -delete 删除密钥库中某条目
  15. -keypasswd 修改密钥库中指定条目口令
  16. -import 将已签名数字证书导入密钥库

1.首先是生成服务端证书:

  1. keytool -genkey -keyalg RSA -dname “cn=localhost,ou=test,o=test,l=china,st=shanghai,c=cn” -alias server -keypass password -keystore e:/cert/server.jks -storepass password -validity 3650

注意:上面的 cn=localhost这是必填项,并且必须是TOMCAT部署主机的域名或者IP[如: 或者 10.1.25.251](就是你将来要在浏览器中输入的访问地址),否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”。

2.生成客户端证书:

  1. keytool -genkey -keyalg RSA -dname “cn=test,ou=test,o=test,l=china,st=上海,c=cn” -alias custom -storetype PKCS12 -keypass password -keystore e:/cert/custom.p12 -storepass password -validity 3650

客户端的 cn 值可以随便设置,并没有限制

3.由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件.

  1. keytool -export -alias custom -file custom.cer -keystore custom.p12 -storepass password -storetype PKCS12 -rfc

4.将客户端证书添加到服务端证书中:

  1. keytool -import -v -alias custom -file custom.cer -keystore server.jks -storepass password

5.查看证书内容:

  1. keytool -list -v -keystore server.jks -storepass password

6.生成服务端浏览器证书:

  1. keytool -export -v -alias server -keystore server.jks -storepass password -rfc -file server.cer

将服务端证书(server.cer),导入到 “受信任的根证书颁发机构” 中

现在修改,tomcat server.xml 文件。

找到如下位置:

  1. <Connectorport="8090"protocol=“org.apache.coyote.http11.Http11Protocol”
  2. connectionTimeout=“20000”
  3. SSLEnabled=“true”
  4. maxThreads="150"scheme="https"secure=“true”
  5. clientAuth="true"sslProtocol=“TLS”
  6. keystoreFile="d:/cert/server.jks"keystorePass=“password”
  7. truststoreFile="d:/cert/server.jks"truststorePass=“password”
  8. ;

如果没有修改过端口,则通常情况下不是 8090 而是 8080.

注意:如果 protocol=“HTTP/1.1” 会出现访问不了 tomcat 主页。必须写 protocol=“org.apache.coyote.http11.Http11Protocol”

补充:后续发现,并不是所有的 tomcat 版本都必须 protocol=“org.apache.coyote.http11.Http11Protocol”,具体情况需要根据 tomcat 版本而定。

隔天为 tomcat 6 版本添加证书时,就发现,protocol=“HTTP/1.1” 也有效果。

那我们如何确定应该是 protocol=“HTTP/1.1” or protocol=“org.apache.coyote.http11.Http11Protocol” 呢?

最简单办法是根据 server.xml 内部的注释:

首先是 tomcat 6.0.35 版本 server.xml

然后是,tomcat 7.0.57 版本,server.xml

然后修改 tomcat,web.xml 文件,在 后面添加:

  1. CLIENT-CERT
  2. Client Cert Users-only Area
  3. SSL
  4. /*
  5. CONFIDENTIAL

在测试HTTPS双向认证配置时,使用抓包工具Sniffmaster可以有效监控和解析HTTPS流量,支持双向验证爆破,无需代理或越狱,帮助验证通信安全性。

重启,tomcat,访问:https://localhost:8090 验收成果。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/6/29 7:50:05

大模型应用开发核心:构建高效准确的提示词指南

提示词是大模型应用的核心&#xff0c;是用户与模型交互的唯一桥梁。标准提示词包含系统提示词、用户问题、参考内容、工具描述和示例数据等模块。多数大模型应用效果不佳源于提示词不够准确。开发者需通过精确、完善的提示词引导模型理解意图&#xff0c;提升应用效果。提示词…

作者头像 李华
网站建设 2026/6/30 23:53:48

OpenAI发布GPT-5.2:是王者归来还是强弩之末?

目录 前言&#xff1a;不再“独孤求败”的十周年 一、告别“一刀切”&#xff1a;三款模型&#xff0c;三种命运 二、生产力的真相&#xff1a;从“聊天”到“干活” 三、光环下的阴影&#xff1a;昂贵、降智与同质化 四、OpenAI的商业豪赌 结论&#xff1a;神话终结&…

作者头像 李华
网站建设 2026/6/30 21:06:01

HTTPS DDoS 排查 异常流量到抓包分析

在讨论 HTTPS DDoS 之前&#xff0c;很多人第一反应是防火墙、CDN 或云厂商的防护策略。但在真实项目中&#xff0c;开发者和运维往往最先面对的并不是“怎么防”&#xff0c;而是这到底是不是攻击&#xff0c;攻击长什么样。 而要回答这些问题&#xff0c;抓包几乎是绕不开的一…

作者头像 李华
网站建设 2026/6/27 7:47:09

12、Docker与Kubernetes使用指南

Docker与Kubernetes使用指南 1. Docker基础操作与远程API访问 在Docker的使用中,我们可以通过一些基本命令来管理容器和镜像。例如,使用 docker ps -a 命令可以查看所有容器的信息,包括容器ID、镜像、命令、创建时间和状态等: $ docker ps -a CONTAINER ID IMAGE …

作者头像 李华
网站建设 2026/6/30 7:57:26

行为树优化全攻略(性能翻倍的4个秘密武器)

第一章&#xff1a;行为树的优化在复杂的游戏AI或自动化系统中&#xff0c;行为树&#xff08;Behavior Tree&#xff09;作为核心决策架构&#xff0c;其性能直接影响系统的响应速度与资源消耗。随着节点数量增加和逻辑复杂度上升&#xff0c;未优化的行为树可能导致帧率下降、…

作者头像 李华
网站建设 2026/6/30 4:07:41

直流电机双闭环调速系统仿真模型:转速外环与电流内环PI参数整定指南,无静差跟踪实现功能介绍

直流电机双闭环调速系统仿真模型 1.附带仿真模型参数计算配套文档 2.附带转速外环、电流内环PI参数整定配套文档 功能&#xff1a;双闭环采用转速外环、电流内环&#xff0c;其中PI参数在报告里面有详细的整定教程&#xff0c;可以实现无静差跟踪直流电机双闭环调速仿真这玩意儿…

作者头像 李华