TomcatはSSLを構成しopensslを使用して証明書を作成する

2582 ワード
tomcat https untu OpenSSL
証明書作成およびTomcat構成
  • openssl環境を構築し、opensslをダウンロードし、環境変数を設定してコマンドラインの使用を便利にする.
  • opensslプロファイルを変更し、dir=/home/usr/openssl_を設定するなどdirディレクトリを設定します.Caは、その後、プロファイルに基づいて、certs、crl、newcerts、privateがそれぞれ発行した証明書、取り消した証明書、証明書申請、秘密鍵を格納するために使用されるサブディレクトリを確立する.
    • cd /home/usr/openssl_ca
mkdir certs
mkdir crl
mkdir newcerts
mkdir private

    3.プロファイルに基づいて、インデックスファイル、シリアル番号ファイル、乱数ファイルを作成する必要があります.
    cd /home/usr/openssl_ca
echo 0 > index.txt
echo 01 > serial
openssl rand -out private/.rand 1000

    4.ルート証明書鍵の構築
    openssl genrsa -des3 -out private/ca.key.pem 2048

    パスワード:123456
    5.ルート証明書申請の作成
    openssl req -new -key private/ca.key.pem -out newcerts/ca.csr -subj "/C=CN/ST=GD/L=SZ/O=oseye/OU=oseye/CN=127.0.0.1"    ##   ip      ,     ip

    6.ルート証明書の発行
    openssl x509 -req -days 100000 -sha1 -signkey private/ca.key.pem -in newcerts/ca.csr -out certs/ca.cer

    7.サーバキーの構築
    openssl genrsa -des3 -out private/mobile.key.pem 2048

    パスワード:123456
    8.構築サーバ証明書申請
    openssl req -new -key private/mobile.key.pem -out newcerts/mobile.csr -subj "/C=CN/ST=GD/L=SZ/O=oseye/OU=oseye15b/CN=127.0.0.1"  ##    ip

    9.サーバ証明書の発行
    openssl x509 -req -days 100000 -sha1 -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in newcerts/mobile.csr -out certs/mobile.cer

    ここでは、安全のためにsha 512を用いて署名するが、より多くの署名アルゴリズムはここを参照する.
    openssl x509 -req -days 100000 -sha512 -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in newcerts/mobile.csr -out certs/mobile.cer

    10.javaで使用可能なフォーマットに変換
    openssl pkcs12 -export -clcerts -inkey private/mobile.key.pem -in certs/mobile.cer -out certs/mobile.p12

    Exportパスワード:123456
    11.keytoolを使用して表示
    keytool -list -keystore certs/mobile.p12 -storetype pkcs12 -v -storepass 123456

    12.tomcatのプロファイルserverを変更します.xml 
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
              maxThreads="150" scheme="https" secure="true"
              clientAuth="false" sslProtocol="TLS" keystoreFile="/home/usr/openssl_ca/certs/mobile.p12" keystorePass="oseye15bp12" keystoreType="PKCS12" />

    13.パス./catalina.sh configtestは、構成結果を検出します.
    参照リンク:http://www.oseye.net/user/kevin/blog/375
    Amazon SNS: pycryptoでNotificationの署名を検証する
    lintcode 79. 最長共通サブストリング動的計画