Tomcat配置HTTPS证书和Apache HTTP Client访问

前言

最近几年各大主流网站对HTTPS支持的越来越完善，之前很多网站只有关键的登录、下单等操作页面支持HTTPS，现在已经逐步的改为全站HTTPS。使用HTTPS协议浏览器与服务器交互过程中除了内容加密还有对服务器和身份的验证，比如用浏览器去访问淘宝网浏览器通过验证淘宝网服务器证书的正确性保证访问的是真实的淘宝网

本文记录下使用Tomcat配置HTTPS单向和双向认证配置过程，以及使用Apache HttpClient组件访问https服务过程

本文假设线上环境HTTPS单向认证域名weibo.com,双向认证域名tmall.com(注：这只随机选了weibo和tmall域名做测试而已,跟微博天猫官方没一毛钱关系)，客户端通过修改hosts，访问对应的服务器

Tomcat HTTPS单向认证配置

1 生成证书

生成服务器证书库

keytool -genkey -keyalg RSA -alias weibo_server -dname "CN=weibo.com" -keystore weibo_server.keystore -storepass weiboweibo  -ext san=dns:weibo.com

生成证书请求csr文件，主要是提交给CA注册验证用，由于本次证书配置没有提交真正的CA认证，需要在 3）步生成的证书发给客户端导入

keytool -certreq -alias weibo_server -keystore weibo_server.keystore -file weibo_ca.csr

生成证书文件,提供给客户端导入使用

keytool -export -alias weibo_server  -keystore weibo_server.keystore -file weibo_ca.cer -storepass weiboweibo

2 Tomcat配置,启用HTTPS，其中clientAuth="false"表示客户端不需要认证

<Connector SSLEnabled="true" clientAuth="false"
        maxThreads="150" port="8443"
        protocol="org.apache.coyote.http11.Http11Protocol"
        scheme="https" secure="true" sslProtocol="TLS"  
      keystoreFile="/dev/https_config/tomcat/weibo_server.keystore" keystorePass="weiboweibo"/>

3 客户端证书导入和访问
1）浏览器访问

本人使用Mac电脑，点击weibo_ca.cer文件，即可导入证书到Mac的密钥串访问程序里，然后在密钥串访问左上角选“登录”菜单，左下角选“证书”，在右边的weibo.com里点击打开，点“信任”，选择“使用此证书时”的“始终信任”
如图

weibo.com自签名根证书

(Windows操作系统过程应该类似，手头没有Windows不方便验证，这里跳过)
然后浏览器里输入网址
https://weibo.com:8443/ 即可看地址栏加锁的绿色图标

HTTPS访问效果.png

2） Java客户端访问
由于java语言的特殊性，它有自己一套CA证书和密钥管理机制，有自己内置的根证书列表。操作系统已经导入的证书不能使用，需要把证书手动导入到JVM的证书目录下，该目录一般为

JAVA_HOME/jre/lib/security/cacerts

线上环境处于运维复杂性的考虑，手动导入证书到证书目录里不一定合适，可以在代码里指定需要加载的证书
方法一 System.Property里指定服务器证书

 @Test
    public void testWithSystemProperty() throws Exception {

        System.setProperty("javax.net.ssl.trustStore",
                           System.getProperty("user.home") + "/dev/https_config/tomcat/weibo_server.keystore");
        System.setProperty("javax.net.ssl.trustStorePassword", "weiboweibo");


        CloseableHttpClient httpclient = HttpClients.createDefault();
        HttpGet httpget = new HttpGet("https://weibo.com:8443/");
        CloseableHttpResponse response = httpclient.execute(httpget);
        System.out.println(response.getStatusLine() + ":" + IOUtils.toString(response.getEntity().getContent()));

    }

方法二代码里主动加载证书

@Test
    public void testWithLoadTrustStore() throws Exception {

        SSLContext sslcontext = SSLContexts.custom().loadTrustMaterial(new File(System.getProperty("user.home")
                                                                                + "/dev/https_config/tomcat/weibo_server.keystore"),
                                                                       "weiboweibo".toCharArray(),
                                                                       new TrustSelfSignedStrategy()).build();

        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslcontext, new String[] { "TLSv1" }, null,
                                                                          SSLConnectionSocketFactory.getDefaultHostnameVerifier());

        CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslsf).build();
        try {

            HttpGet httpget = new HttpGet("https://weibo.com:8443/");

            System.out.println("Executing request " + httpget.getRequestLine());

            CloseableHttpResponse response = httpclient.execute(httpget);
            System.out.println(response.getStatusLine() + ":" + IOUtils.toString(response.getEntity().getContent()));

        } finally {
            httpclient.close();
        }

    }

方法三，把服务器证书导入到JDK的cacert里

sudo keytool -import -alias weibo_cert -file "weibo_server.cer" -keystore "/Library/Java/JavaVirtualMachines/jdk1.8.0_73.jdk/Contents/Home/jre/lib/security/cacerts" -storepass weiboweibo

httpclient代码里证书指定的代码可以省略了

@Test
public  void test1() throws Exception{
    CloseableHttpClient httpclient = HttpClients.createDefault();
    HttpGet httpget = new HttpGet("https://wrj.me:8443/");
    CloseableHttpResponse response = httpclient.execute(httpget);
    System.out.println(response.getStatusLine()+":"+ IOUtils.toString(response.getEntity().getContent()));
}

到此为止，HTTPS单向认证配置和访问已经结束，下面来说说HTTPS双向认证配置和访问过程

Tomcat HTTPS双向认证配置

单向认证，只有客户端验证服务器证书和真实服务器身份是否一致，双向认证服务器也会认证客户端真实身份，大部分互联网网站都是单向认证，除了网银之类比较特殊的应用，双向认证假设域名是tmall.com，服务器证书密码用tmalltmall，客户端证书密码是tmallclient

1 服务端和客户端证书生成
先建立两个目录server和client，分别作为输出服务器和客户端证书目录

生成服务端证书库

keytool -genkey -v -alias tmall_server -keyalg RSA -keystore server/tmall_server.keystore -validity 36500   -dname "CN=tmall.com"   -ext san=dns:tmall.com

2）生成客户端证书

keytool -genkey -v -alias tmall_client -keyalg RSA -storetype PKCS12 -keystore client/tmall_client.p12

2 让服务器信任客户端证书
（1）由于不能直接将PKCS12格式的证书库导入，必须先把客户端证书导出为一个单独的CER文件，使用如下命令：
（下面要用到客户端证书密码“tmallclient”）

keytool -export -alias tmall_client -keystore client/tmall_client.p12 -storetype PKCS12 -storepass tmallclient -rfc -file client/tmall_client.cer

（2）将该客户端证书文件导入到服务器的证书库，添加为一个信任证书：

  keytool -import -v -file client/tmall_client.cer -keystore server/tmall_server.keystore

（3）通过 list 命令查看服务器的证书库，可以看到两个证书，一个是服务器证书，一个是受信任的客户端证书：

keytool -list -keystore server/tmall_server.keystore

3 让客户端信任服务器证书
由于是双向SSL认证，客户端也要验证服务器证书。把服务器证书导出为一个单独的CER文件提供给客户端，使用如下命令：

keytool -keystore server/tmall_server.keystore -export -alias tmall_server -file server/tmall_server.cer

把 server/tmall_server.cer（服务端自签名证书）和client/tmall_client.cer(为客户端生成的证书),client/tmall_client.cer(客户端密钥对) 提供给客户端

客户端导入服务器证书server/tmall_server.cer和服务器颁发给客户端的证书client/tmall_client.cer，密钥对client/tmall_client.p12

4 配置tomcat
tomcat server.xml文件配置

    <Connector SSLEnabled="true" clientAuth="true"
        maxThreads="150" port="8443"
        protocol="org.apache.coyote.http11.Http11Protocol"
        scheme="https" secure="true" sslProtocol="TLS"  
        keystoreFile="/dev/https_config/tomcat/bidirection/server/tmall_server.keystore" 
        keystorePass="tmalltmall"
        truststoreFile="/dev/https_config/tomcat/bidirection/server/tmall_server.keystore" 
        truststorePass="tmalltmall"
        />

重启tomcat

5 浏览器访问
客户端配置hosts,tmall.com域名映射到服务器ip
浏览器输入https://tmall.com:8443/
提示选择证书

选择证书.jpg

6 apache httpclient访问

 @Test
    public void testWithLoadCert() throws Exception {

        // Trust own CA and all self-signed certs
        SSLContext sslcontext = SSLContexts.custom().loadTrustMaterial(new File(System.getProperty("user.home")
                                                                                + "/dev/https_config/tomcat/bidirection/server/tmall_server.keystore"),
                                                                       "tmalltmall".toCharArray(),
                                                                       new TrustSelfSignedStrategy()).loadKeyMaterial(new File(System.getProperty("user.home")
                                                                                                                               + "/dev/https_config/tomcat/bidirection/client/tmall_client.p12"),
                                                                                                                      "tmallclient".toCharArray(),
                                                                                                                      "tmallclient".toCharArray()).build();

        // Allow TLSv1 protocol only
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslcontext, new String[] { "TLSv1" }, null,
                                                                          SSLConnectionSocketFactory.getDefaultHostnameVerifier());

        CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslsf).build();
        try {

            HttpGet httpget = new HttpGet("https://tmall.com:8443/");

            System.out.println("Executing request " + httpget.getRequestLine());

            CloseableHttpResponse response = httpclient.execute(httpget);
            System.out.println(response.getStatusLine() + ":" + IOUtils.toString(response.getEntity().getContent()));

        } finally {
            httpclient.close();
        }

    }

loadTrustMaterial加载服务器证书,loadKeyMaterial加载服务器提供给客户端证书，如果该服务器证书已经内置Java cacert文件，可以省略loadTrustMaterial

总结

HTTPS是密码学在信息安全领域综合应用体现，融合对称加密、非对称加密、消息摘要、数字签名、密钥交换、随机数、证书等知识。相关知识请自行搜索学习。
按照一般的线上环境部署，nginx之类前置反向代理服务器做HTTPS卸载，由nginx转发到tomcat、jboss等应用服务器，证书配置在nginx里。

最后编辑于：2017.12.08 02:58:56

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 206,013评论 6赞 481
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 88,205评论 2赞 382
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 152,370评论 0赞 342
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 55,168评论 1赞 278
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 64,153评论 5赞 371
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 48,954评论 1赞 283
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 38,271评论 3赞 399
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 36,916评论 0赞 259
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 43,382评论 1赞 300
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 35,877评论 2赞 323
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 37,989评论 1赞 333
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,624评论 4赞 322
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 39,209评论 3赞 307
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 30,199评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 31,418评论 1赞 260
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 45,401评论 2赞 352
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,700评论 2赞 345

Tomcat配置HTTPS证书和Apache HTTP Client访问

前言

Tomcat HTTPS单向认证配置

Tomcat HTTPS双向认证配置

总结

推荐阅读更多精彩内容