Tomcat 访问http强制 https 访问配置方法

对于Tomcat服务器,如果需要支持使用https访问,可以将服务器证书生成以后,配置server.xml文件,开放https访问方式。但有些时候,可能我们需要将整站或者一些特定的URL限制为只能使用https方式进行访问,那么需要在WEB应用的web.xml文件中进行进一步的配置。

在 tomcat /conf/web.xml 中的 后面加上下面代码

	<login-config>  
	    <!-- Authorization setting for SSL -->  
	    <auth-method>CLIENT-CERT</auth-method>  
	    <realm-name>Client Cert Users-only Area</realm-name>  
	</login-config>  
	<security-constraint>  
	    <!-- Authorization setting for SSL -->  
	    <web-resource-collection >  
	        <web-resource-name >SSL</web-resource-name>  
	        <url-pattern>/*</url-pattern>  
	    </web-resource-collection>  
	    <user-data-constraint>  
	        <transport-guarantee>CONFIDENTIAL</transport-guarantee>  
	    </user-data-constraint>  
	</security-constraint>  

完成以上步骤后,在浏览器中输入http的访问地址也会自动转换为https了

Tomcat配置HTTPS

如果Tomcat还未配置安装SSL证书,点击查看Tomcat安装SSL证书

Mozilla、思科和EFF将为网站免费提供SSL证书

部署HTTPS的最大障碍是HTTPS所需SSL证书的复杂性、官僚主义和费用,Let s Encrypt项目的目标是解决这些问题,将证书安装的时间减少到20到30秒。Let s Encrypt CA将由非赢利组织Internet Security Research Group (ISRG)运营。

使用免费软件portecle从https网站上导出SSL证书与中级证书CA指南

Portecle 是一个图形化界面的 JDK 中的命令行工具 keytool ,可生成各种不同类型的密钥库,生成并存储相关的 X.509 证书、生成 CSRs、导入和储存信任的证书并进行维护。

在使用Portecle软件之前首先要确定你的电脑已经安装了Java,因为该软件必须在java下才可以运行,如果没有安装过java,点击下载

下载JAVA

步骤一: 下载Portecle软件,当前最新的版本是1.8,大家可以从下面的网站下载这个软件。https://www.chinassl.net/software/portecle-1.8.rar

步骤二:下载完后,解压缩后,目录结构如下:

 

使用Portecle导出网站SSL证书

步骤三. 双击portecle.jar 文件,如上图,将会弹出下面的界面

 

使用Portecle导出网站SSL证书

 

步骤四. 点击下面的菜单项,弹出“Examine SSL/TLS Connection” 窗体

 

使用Portecle导出网站SSL证书

 

步骤五 在弹出的“Examine SSL/TLS Connection” 窗体中相应的HTTPS网站的域名和端口号,

咱们还是以访问  https://www.chinassl.net为例子,输入如下图

所示意的参数,然后点击OK按钮,将会弹出步骤六中所示意的窗体。

 

使用Portecle导出网站SSL证书

 

步骤六. 在弹出的证书详情的窗体中,我们可以看到下面的界面,具体情况,见下图。

 

使用Portecle导出网站SSL证书

 

步骤七. 步骤六附图中的“PEM Encoding”按钮,将会弹出下面的窗体。

 

使用Portecle导出网站SSL证书

 

步骤八. 点击“Save”按钮,保存证书。

 

使用Portecle导出网站SSL证书

 

步骤九. 点击步骤六页面顶端的右向箭头(——->),重复步骤七到八,把剩下的两个中级证书intermediate-CA也导出来。

至此你的网站的SSL证书和中级证书intermediate-CA证书导出成功了。

原文地址: https://www.chinassl.net/faq/n512.html

常见的数字证书格式与协议简介

数字证书主要的文件类型和协议有: PEM、DER、PFX、JKS、KDB、CER、KEY、CSR、CRT、CRL、OCSP、SCEP等。

PEM

Openssl使用 PEM(Privacy Enhanced Mail)格式来存放各种信息,它是 openssl 默认采用的信息存放方式。Openssl 中的 PEM 文件一般包含如下信息:

  1. 内容类型:表明本文件存放的是什么信息内容,它的形式为“——-BEGIN XXXX ——”,与结尾的“——END XXXX——”对应。
  2. 头信息:表明数据是如果被处理后存放,openssl 中用的最多的是加密信息,比如加密算法以及初始化向量 iv。
  3. 信息体:为 BASE64 编码的数据。可以包括所有私钥(RSA 和 DSA)、公钥(RSA 和 DSA)和 (x509) 证书。它存储用 Base64 编码的 DER 格式数据,用 ascii 报头包围,因此适合系统之间的文本模式传输。

使用PEM格式存储的证书:

—–BEGIN CERTIFICATE—–

 

—–END CERTIFICATE—–

使用PEM格式存储的私钥:

—–BEGIN RSA PRIVATE KEY—–
—–END RSA PRIVATE KEY—–

使用PEM格式存储的证书请求文件:

—–BEGIN CERTIFICATE REQUEST—–
—–END CERTIFICATE REQUEST—–

DER

辨别编码规则 (DER) 可包含所有私钥、公钥和证书。它是大多数浏览器的缺省格式,并按 ASN1 DER 格式存储。它是无报头的 - PEM 是用文本报头包围的 DER。

PFX 或 P12

公钥加密标准 #12 (PKCS#12) 可包含所有私钥、公钥和证书。其以二进制格式存储,也称为 PFX 文件。通常可以将Apache/OpenSSL使用的“KEY文件 + CRT文件”格式合并转换为标准的PFX文件,你可以将PFX文件格式导入到微软IIS 5/6、微软ISA、微软Exchange Server等软件。转换时需要输入PFX文件的加密密码。

JKS

通常可以将Apache/OpenSSL使用的“KEY文件 + CRT文件”格式”转换为标准的Java Key Store(JKS)文件。JKS文件格式被广泛的应用在基于JAVA的WEB服务器、应用服务器、中间件。你可以将JKS文件导入到TOMCAT、 WEBLOGIC 等软件。

KDB

通常可以将Apache/OpenSSL使用的“KEY文件 + CRT文件”格式转换为标准的IBM KDB文件。KDB文件格式被广泛的应用在IBM的WEB服务器、应用服务器、中间件。你可以将KDB文件导入到IBM HTTP Server、IBM Websphere 等软件。

CSR

证书请求文件(Certificate Signing Request)。生成 X509 数字证书前,一般先由用户提交证书申请文件CSR,然后由 CA 来签发证书。大致过程如下(X509 证书申请的格式标准为 pkcs#10 和 rfc2314):

  1. 用户生成自己的公私钥对;
  2. 构造自己的证书申请文件,符合 PKCS#10 标准。该文件主要包括了用户信息、公钥以及一些可选的属性信息,并用自己的私钥给该内容签名;
  3. 用户将证书申请文件CSR提交给 CA;
  4. CA 验证签名,提取用户信息,并加上其他信息(比如颁发者等信息),用 CA 的私钥签发数字证书;
  5. 说明:数字证书(如x.509)是将用户(或其他实体)身份与公钥绑定的信息载体。一个合法的数字证书不仅要符合 X509 格式规范,还必须有 CA 的签名。用户不仅有自己的数字证书,还必须有对应的私钥。X509v3 数字证书主要包含的内容有:证书版本、证书序列号、签名算法、颁发者信息、有效时间、持有者信息、公钥信息、颁发者 ID、持有者 ID 和扩展项。

OCSP

在线证书状态协议(OCSP,Online Certificate Status Protocol,rfc2560)用于实时表明证书状态。OCSP 客户端通过查询 OCSP 服务来确定一个证书的状态,可以提供给使用者一个或多个数字证书的有效性资料,它建立一个可实时响应的机制,让用户可以实时确认每一张证书的有效性,解决由CRL引发的安全问题。。OCSP 可以通过 HTTP协议来实现。rfc2560 定义了 OCSP 客户端和服务端的消息格式。

CER

一般指使用DER格式的证书。

CRT

证书文件。可以是PEM格式。

KEY

般指PEM格式的私钥文件。

CRL

证书吊销列表 (Certification Revocation List) 是一种包含撤销的证书列表的签名数据结构。CRL 是证书撤销状态的公布形式,CRL 就像信用卡的黑名单,用于公布某些数字证书不再有效。CRL 是一种离线的证书状态信息。它以一定的周期进行更新。CRL 可以分为完全 CRL和增量 CRL。在完全 CRL 中包含了所有的被撤销证书信息,增量 CRL 由一系列的 CRL 来表明被撤销的证书信息,它每次发布的 CRL 是对前面发布 CRL 的增量扩充。基本的 CRL 信息有:被撤销证书序列号、撤销时间、撤销原因、签名者以及 CRL 签名等信息。基于 CRL 的验证是一种不严格的证书认证。CRL 能证明在 CRL 中被撤销的证书是无效的。但是,它不能给出不在 CRL 中的证书的状态。如果执行严格的认证,需要采用在线方式进行认证,即 OCSP 认证。一般是由CA签名的一组电子文档,包括了被废除证书的唯一标识(证书序列号),CRL用来列出已经过期或废除的数字证书。它每隔一段时间就会更新,因此必须定期下载该清单,才会取得最新信息。

SCEP

简单证书注册协议。基于文件的证书登记方式需要从您的本地计算机将文本文件复制和粘贴到证书发布中心,和从证书发布中心复制和粘贴到您的本地计算机。 SCEP可以自动处理这个过程但是CRLs仍然需要手工的在本地计算机和CA发布中心之间进行复制和粘贴。

PKCS7

加密消息语法(pkcs7),是各种消息存放的格式标准。这些消息包括:数据、签名数据、数字信封、签名数字信封、摘要数据和加密数据。

PKCS12

pkcs12 (个人数字证书标准)用于存放用户证书、crl、用户私钥以及证书链。pkcs12 中的私钥是加密存放的。

原文地址:https://www.chinassl.net/faq/n509.html

不支持IE6的SSL证书算不算的上全球可信的SSL证书?

SSL证书不支持IE6

不支持IE6的SSL证书算不算的上全球可信的SSL证书?经过测试某品牌SSL证书竟然在IE6下https竟然无法访问,一时间彻底晕倒,虽然IE6已经快被淘汰了,但不可否认现在还有大量用户在使用Winxp系统使用IE6浏览器,如好多银行系统,他们都的网银系统好多只能在IE6下面才能工作,这让这一部分用户情何以堪,IE5以前的浏览器如果不支持还可以理解,不支持IE6是不是有点大逆不道呢?够买SSL证书,还需要多方了解,切不可追求一味低价,本说明只代表个人观点。

特别申明: 中国证书CHINASSL​证书是真正提供全球可信SSL证书的网站,不论价格是200块一年的证书,还是20000元的SSL证书,如测试发现某些主流浏览器不支持,愿无条件全额退款。

原文地址:https://www.chinassl.net/faq/n508.html

如果使用SHA1生成CSR文件,那么签发SHA2的SSL证书,这样使用是否有问题呢?

如果使用SHA1生成CSR文件,那么签发SHA2的SSL证书,签发的是SHA2也就是SHA-256的 SSL证书,这样SHA1算法的KEY 和SHA2算法的证书一起使用起来是否有问题呢? 还是说如果使用SHA1算法生成的CSR,那么必须签发SHA1算法的证书, 使用SHA2 生成CSR文件必须签发SHA2算法的SSL证书呢? 希望资深有实战经验的专家给个答案!修改

Citrix NetScaler安装SSL证书时出现Not yet valid怎么办?

当在Citrix NetScaler中Install certification时,如果出现Not yet valid的错误提示:
出现这样的提示,一般是因为时区或时间与CA的时间不匹配所致,相差时间控制在3分钟以内,最好是同步。
如果此时的NetScaler的是MDX中硬件中配置,那就用ssh登录NS命令行,shell, 用date 1435下午14:35分钟设置时间或启用NTP同步
如果是在NetScaler VPX中部署,那要检查你的Hypervisor时间是否正确,很多时间是Hypervisor时间不对引起,改好时间后,请将VPX虚拟机重启,一般就可以安装CA并Valid。

安装GeoTrust动态签章

安装GeoTrust动态签章

在所有需要显示GeoTrust动态签章的页面里面,添加以下的代码,就可以显示出GeoTrust的动态网站签章。

  <!-- GeoTrust Siteseal [Start] -->
  <script language="javascript" type="text/javascript" src="//smarticon.geotrust.com/si.js"></script>
  <!--  GeoTrust Siteseal [End] -->

重要注意事项:使用GeoTrust SSL证书服务需遵守GeoTrust用户协议的条款和条件。如果你在自己的网站上安装GeoTrust标志,就表明你已接受此协议。

这是动态签章的截图,正式的签章会显示实时时间,如果是企业型证书或增强型EV SSL证书,还会同时显示企业名称。