MyException - 我的异常网
当前位置:我的异常网» 编程 » 替tomcat6批量生成安全证书

替tomcat6批量生成安全证书

www.MyException.Cn  网友分享于:2015-08-26  浏览:3次
为tomcat6批量生成安全证书
在Tomcat 6中配置SSL双向认证是相当容易的,本文将介绍如何使用JDK的keytool来为Tomcat配置双向SSL认证。并实现批量生成证书 系统需求:JDK 5.0
Tomcat 6.0.16
启动命令行:
第一步:为服务器生成证书
使用keytool为Tomcat生成证书,假定目标机器的域名是localhost或者“192.168.1.1”,keystore文件存放在“D:/downloads/tomcat.keystore”,口令为“logiscn”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:/downloads/tomcat.keystore -dname "CN=192.168.1.1,OU=logiscn,O=logis,L=beijing,ST=beijing,C=CN" -validity 3650 -storepass logiscn -keypass logiscn 
如果Tomcat所在服务器的域名不是“localhost”,应改为对应的域名,如www.baidu.com 或者IP地址,否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。
第二步:为客户端生成证书
下一步是为浏览器生成证书,以便让服务器来验证它。假设文件存放在D:/downloads/p12/tianli.p12,为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成:
keytool -genkey -v -alias tianli -keyalg RSA -storetype PKCS12 -keystore D:/downloads/p12/tianli.p12 -dname "CN=tianli,OU=logiscn,O=logis,L=beijing,ST=beijing,C=CN" -validity 3650 -storepass tianli -keypass tianli"
-validity为有效期限,目前的设置为10年,keypass用于在导入浏览器时使用的密码,如果密码不正确,则不能正确导入到浏览器。
对应的证书库存放在“D:/downloads/p12/tianli.p12”,客户端的CN可以是任意值。
第三步:让服务器信任客户端证书

由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件,使用如下命令:
keytool -export -alias tianli -keystore  D:/downloads/p12/tianli.p12 -storetype PKCS12 -storepass tianli -rfc -file  D:/downloads/cert/tianli.cer

通过以上命令,客户端证书就被我们导出到“D:/downloads/cert/tianli.cer r”文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:
keytool -import -alias tianli -v -file D:/downloads/cert/tianli.cer -keystore D:/downloads/tomcat.keystore -storepass logiscn <myint.inf
由于在导入的过程中需要输入Y或者n在此处直接使用一个文件myint.inf代替输入,myint.inf是一个文本文件,里面的内容只有 y和一个回车
通过list命令查看服务器的证书库,我们可以看到两个输入,一个是服务器证书,一个是受信任的客户端证书:
第四步:配置Tomcat服务器

打开Tomcat根目录下的/conf/server.xml,找到如下配置段,修改如下:
打开注释
<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="true" sslProtocol="TLS"
    keystoreFile=" D:/downloads/tomcat.keystore " keystorePass="logiscn "
    truststoreFile=" D:/downloads/tomcat.keystore " truststorePass="logiscn "
/>

其中,clientAuth指定是否需要验证客户端证书,如果该设置为“false”,则为单向SSL验证,SSL配置可到此结束。如果clientAuth设置为“true”,表示强制双向SSL验证,必须验证客户端证书。如果clientAuth设置为“want”,则表示可以验证客户端证书,但如果客户端没有有效证书,也不强制验证。
第五步:导入客户端证书

如果设置了clientAuth="true",则需要强制验证客户端证书。双击“D:/downloads/p12/tianli.p12”即可将证书导入至IE:导入证书后,即可启动Tomcat,用IE进行访问。输入https://IPAdress/      ,https协议默认的访问端口为443。以上所写大都为借鉴网上的资料。

删除keystore里的证书:
keytool -delete -alias tianli -keystore D:/downloads/tomcat.keystore -storepass logiscn

为了实现每人发放一个证书,如果重复以上的操作也可以达到目的,考虑到需要进行大量的测试,并且在不同的机器上部署,就想到使用程序自动生成命令的方法。
生成命令的程序是使用java 写的,生成命令需要预先设置如下的几项:
1.  Basedir生成的命令文件的位置,生成的命令运行后生成cer和p12格式的文件,为了区分存放,需要建立两个文件夹,因此需要与一个基本目录,
2.  生成的keyStore文件需要一个密码,为了安全起见,不同的域名的keyStore需要不同的密码。
3.  域地址,如果域地址不正确,则会在整数上发出警告。因此对于不同的域,地址是不同的。
完成以上的三个设置之后就可以生成命令了。生成的文件包括3个,全部存放在Basedir下。

package netSecure;

import java.io.FileWriter;
import java.io.PrintWriter;

public class GenerateCommand {
	private static String storepass = "logiscn";
	private static String baseDir = "D:/downloads/";
	private static String myIP = "localhost";

	public static void main(String[] args) throws Exception {
		String filePath = baseDir + "command.bat";
		String cerDir = baseDir + "cert/";
		String p12Dir = baseDir + "p12/";
		String xmlFile = baseDir + "config.xml";
		String inputFile = "myint.inf";
		generateInputFile(baseDir + inputFile);
		generateXML(xmlFile);
		FileWriter fout = new FileWriter(filePath);
		PrintWriter writer = new PrintWriter(fout);
		StringBuffer sb = new StringBuffer();
		sb.append("mkdir cert");
		sb.append("\n\r");
		sb.append("mkdir p12");
		sb.append("\n\r");

		String serverCommand = "keytool -genkey -v -alias tomcat"
				+ " -keyalg RSA -keystore " + baseDir
				+ "tomcat.keystore -dname \"CN=" + myIP + ",OU=logiscn,"
				+ "O=logis,L=beijing,ST=beijing,C=CN\""
				+ " -validity 3650 -storepass " + storepass + " -keypass "
				+ storepass;
		sb.append(serverCommand);
		sb.append("\n\r");

		String namesStr = "tianli,weiheshan,lanfengshuo,"
				+ "suzhaohe,wangshirui,wangtiantian,shaoqd,"
				+ "pangran,songlixuan,liujianzhu,maoxiaoyan";
		String[] names = namesStr.split(",");

		for (String name : names) {
			sb.append("rem 为 " + name + " 生成证书");
			sb.append("\n\r");
			sb.append("rem 第二步:为客户端生成证书");
			sb.append("\n\r");

			String clientCert = "keytool -genkey -v -alias "
					+ name
					+ " -keyalg "
					+ "RSA -storetype PKCS12 -keystore "
					+ p12Dir
					+ name
					+ ".p12 -dname"
					+ " \"CN="
					+ name
					+ ",OU=logiscn,O=logis,L=beijing,ST=beijing,C=CN\" -validity 3650 -storepass "
					+ name + " -keypass " + name + "\"";
			sb.append(clientCert);
			sb.append("\n\r");

			sb.append("rem 第三步:让服务器信任客户端证书");
			sb.append("\n\r");

			String trustCert = "keytool -export -alias " + name
					+ " -keystore  " + p12Dir + name
					+ ".p12 -storetype PKCS12 -storepass " + name
					+ " -rfc -file  " + cerDir + name + ".cer\"";
			sb.append(trustCert);
			sb.append("\n\r");
			String impStr = "keytool -import -alias " + name + " -v -file "
					+ cerDir + name + ".cer -keystore " + baseDir
					+ "tomcat.keystore -storepass " + storepass + " <"
					+ inputFile;
			sb.append(impStr);
			sb.append("\n\r");
		}
		writer.println(sb.toString());
		writer.println();
		writer.println();
		writer.flush();
		writer.close();
		fout.close();
		System.out.println("文件已经生成:" + filePath);
	}

	public static void outputStr(String str, PrintWriter writer)
			throws Exception {
		writer.println(str);
		writer.println();
	}

	public static void generateXML(String path) throws Exception {
		FileWriter fout = new FileWriter(path);
		PrintWriter writer = new PrintWriter(fout);
		StringBuffer sb = new StringBuffer();
		sb.append("把下面的代码覆盖到{tomcat.home}/config/server.xml中相应的位置,\r\n");
		sb.append("并使得可以使用.\r\n");
		sb.append("重新启动tomcat即可!\r\n");
		sb.append("把所有的8443字符替换为443,则可以访问默认的ssl\r\n");
		sb
				.append("<Connector port=\"443\" protocol=\"HTTP/1.1\" SSLEnabled=\"true\"\r\n");
		sb.append("\tmaxThreads=\"150\" scheme=\"https\" secure=\"true\"\r\n");
		sb.append("\tclientAuth=\"true\" sslProtocol=\"TLS\"\r\n");
		sb.append("\tkeystoreFile=\"" + baseDir
				+ "tomcat.keystore\" \r\n\t keystorePass=\"" + storepass
				+ "\"\r\n");
		sb.append("\ttruststoreFile=\"" + baseDir
				+ "tomcat.keystore\" \r\n\t truststorePass=\"" + storepass
				+ "\"/>");
		writer.println(sb.toString());
		System.out.println("生成配置文件:" + path);
		writer.flush();
		writer.close();
		fout.close();
	}

	public static void generateInputFile(String filePath) throws Exception {
		FileWriter fout = new FileWriter(filePath);
		PrintWriter writer = new PrintWriter(fout);
		StringBuffer sb = new StringBuffer();
		sb.append("y\r\n");
		writer.print(sb.toString());
		System.out.println("生成配置文件:" + filePath);
		writer.flush();
		writer.close();
		fout.close();
	}
}

文章评论

我跳槽是因为他们的显示器更大
我跳槽是因为他们的显示器更大
初级 vs 高级开发者 哪个性价比更高?
初级 vs 高级开发者 哪个性价比更高?
2013年中国软件开发者薪资调查报告
2013年中国软件开发者薪资调查报告
团队中“技术大拿”并非越多越好
团队中“技术大拿”并非越多越好
Web开发人员为什么越来越懒了?
Web开发人员为什么越来越懒了?
程序员最害怕的5件事 你中招了吗?
程序员最害怕的5件事 你中招了吗?
程序员必看的十大电影
程序员必看的十大电影
要嫁就嫁程序猿—钱多话少死的早
要嫁就嫁程序猿—钱多话少死的早
代码女神横空出世
代码女神横空出世
不懂技术不要对懂技术的人说这很容易实现
不懂技术不要对懂技术的人说这很容易实现
老程序员的下场
老程序员的下场
Google伦敦新总部 犹如星级庄园
Google伦敦新总部 犹如星级庄园
程序员周末都喜欢做什么?
程序员周末都喜欢做什么?
那些性感的让人尖叫的程序员
那些性感的让人尖叫的程序员
10个调试和排错的小建议
10个调试和排错的小建议
聊聊HTTPS和SSL/TLS协议
聊聊HTTPS和SSL/TLS协议
如何区分一个程序员是“老手“还是“新手“?
如何区分一个程序员是“老手“还是“新手“?
2013年美国开发者薪资调查报告
2013年美国开发者薪资调查报告
鲜为人知的编程真相
鲜为人知的编程真相
如何成为一名黑客
如何成为一名黑客
做程序猿的老婆应该注意的一些事情
做程序猿的老婆应该注意的一些事情
那些争议最大的编程观点
那些争议最大的编程观点
“肮脏的”IT工作排行榜
“肮脏的”IT工作排行榜
看13位CEO、创始人和高管如何提高工作效率
看13位CEO、创始人和高管如何提高工作效率
旅行,写作,编程
旅行,写作,编程
60个开发者不容错过的免费资源库
60个开发者不容错过的免费资源库
亲爱的项目经理,我恨你
亲爱的项目经理,我恨你
科技史上最臭名昭著的13大罪犯
科技史上最臭名昭著的13大罪犯
Web开发者需具备的8个好习惯
Web开发者需具备的8个好习惯
程序员眼里IE浏览器是什么样的
程序员眼里IE浏览器是什么样的
Java程序员必看电影
Java程序员必看电影
 程序员的样子
程序员的样子
十大编程算法助程序员走上高手之路
十大编程算法助程序员走上高手之路
5款最佳正则表达式编辑调试器
5款最佳正则表达式编辑调试器
当下全球最炙手可热的八位少年创业者
当下全球最炙手可热的八位少年创业者
编程语言是女人
编程语言是女人
我的丈夫是个程序员
我的丈夫是个程序员
程序员和编码员之间的区别
程序员和编码员之间的区别
10个帮程序员减压放松的网站
10个帮程序员减压放松的网站
“懒”出效率是程序员的美德
“懒”出效率是程序员的美德
程序猿的崛起——Growth Hacker
程序猿的崛起——Growth Hacker
一个程序员的时间管理
一个程序员的时间管理
程序员的鄙视链
程序员的鄙视链
什么才是优秀的用户界面设计
什么才是优秀的用户界面设计
漫画:程序员的工作
漫画:程序员的工作
中美印日四国程序员比较
中美印日四国程序员比较
每天工作4小时的程序员
每天工作4小时的程序员
写给自己也写给你 自己到底该何去何从
写给自己也写给你 自己到底该何去何从
我是如何打败拖延症的
我是如何打败拖延症的
软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有