最近项目组要完成一个新Web Servicer接口的开发,其中有项要求是支持外部客户程序以https方式访问这些SOAP接口。项目组当前基于tomcat6.0.29开发,axis版本为1.4。拿到这个需求时不明所以,后来发现网上的资料非常多,但据观察,基本步骤和apache官网的上操作步骤基本一致,少有特别之处。于是参照资料,这个特性顺利完成。客户拿到之后非常满意,但看到tomcat配置文件中证书的密码以明文保存时,客户不满意了,要求修改为密文。

根据官网的资料以及实地验证,tomcat的Connector配置默认只支持明文。但客户就是上帝,客户的要求即是圣旨。

于是新一轮的资料检索开始了,但让人非常失望的是网上资料大多都是在讲如何基于tomcat配置https的单向认证或者双向认证,证书密码加密存储相关的资料却怎么也找不到。客户那边又催的特别紧,没有办法,只好硬着头皮啃tomcat的源码,配合eclipse的远程调试功能,终于摸索出了办法。下面的文字tomcat版本为6.0.29,其它版本的处理方法应当近似,同时假定基于tomcat的https认证已经配置好,tomcat可以正常启动。

修改前的Connector配置,可以看到证书的口令配置成了明文,这样安全性是没有保证的。

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               keystoreFile="./conf/keystore" keystorePass="jackie.123"
               clientAuth="false" sslProtocol="TLS" />

解决问题的步骤如下:

步骤一、创建一个协议处理类,替换掉当前的org.apache.coyote.http11.Http11Protocol。代码非常简单,样例如下:

package demo;

import org.apache.coyote.http11.Http11Protocol;

public class MyHttp11Protocol extends Http11Protocol {
    @Override
    public void init() throws Exception {
        final String password = getKeypass();
        final String realpassword = decipher(password);
        setAttribute("keypass", realpassword);
        super.init();
    }

    private String decipher(final String password) {
        // 这里执行密码的解码操作;
    }
}

注意点是这个类里如果需要记日志,可以直接使用父类定义的log对象,但有一点,明文口令不要记录到日志里,否则失去了加密存储的意义。
步骤二、修改Connector的配置,使用定制后的协议处理器,同时把证书的密码修改为密文,样例如下:

    <Connector port="8443" protocol="demo.MyHttp11Protocol" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               keystoreFile="./conf/keystore" keystorePass="ADFADLJYNGHYVM=="
               clientAuth="false" sslProtocol="TLS" />

步骤三、重新启动tomcat,检查上述配置是否生效。

Anyway,经过上述处理,我本地的配置是成功的。

tomcat安全配置之证书密码加密存储的更多相关文章

  1. [转载]JavaEE学习篇之——网络传输数据中的密码学知识以及Tomcat中配置数字证书EE

    原文链接:http://blog.csdn.net/jiangwei0910410003/article/details/21716557 今天是学习JavaWeb的第二天,我们来了解什么呢?就了解一 ...

  2. RSA原理、ssl认证、Tomcat中配置数字证书以及网络传输数据中的密码学知识

      情形一:接口的加.解密与加.验签 rsa不是只有加密解密,除此外还有加签和验签.之前一直误以为加密就是加签,解密就是验签.这是错误的! 正确的理解是: 数据传输的机密性:公钥加密私钥解密是密送,保 ...

  3. Spring 数据库配置用户名和密码加密

    单个数据库配置 : 一般spring容器启动时,通过PropertyPlaceholderConfigurer类读取jdbc.properties文件里的数据库配置信息.通过这个原理,我们把加密后的数 ...

  4. tomcat 配置客户端证书认证

    在完成配置客户端证书认证后,浏览器以https访问服务器的时候,会提示选择证书,之后,服务器端会验证证书.也就意味着只有拥有有效证书的客户端才能打开该网站. 以下是具体的配置过程. 1. 在服务器端生 ...

  5. tomcat配置SSL证书(使用startSSL申请到的证书)

    1. 生成p12证书 生成完成后,下载保存. 2. 将p12文件上传至服务器上的tomcat/keystore/上,此处取名为test.com.p12 3. 修改tomcat/conf/server. ...

  6. 使用BCrypt算法加密存储登录密码用法及好处

    //导入import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; /** *使用BCrypt算法加密存储登录密码 ...

  7. Spring Security笔记:使用BCrypt算法加密存储登录密码

    在前一节使用数据库进行用户认证(form login using database)里,我们学习了如何把“登录帐号.密码”存储在db中,但是密码都是明文存储的,显然不太讲究.这一节将学习如何使用spr ...

  8. Web安全--使用Salt + Hash将密码加密后再存储进数据库

    转载原地址 http://www.bozhiyue.com/mianshiti/_net/2016/0728/314239.html (一) 为什么要用哈希函数来加密密码 如果你需要保存密码(比如网站 ...

  9. Tomcat配置用户名和密码

    1.在浏览器输入http://localhost:8080/,打开Tomcat自带的默认主页面,右侧有"administration""documentation&quo ...

随机推荐

  1. python实现查看目录下重复的文件

    该python 脚本有以下三个功能: 1. 实现查看目录下重复的文件,输出文件按修改时间升序排列 2. 将按修改时间排列比较旧的.可删除的文件列出来 3. 按目录对重复文件进行统计,比如,目录/tmp ...

  2. ID3、C4.5、CART、RandomForest的原理

    决策树意义: 分类决策树模型是表示基于特征对实例进行分类的树形结构.决策树可以转换为一个if_then规则的集合,也可以看作是定义在特征空间划分上的类的条件概率分布. 它着眼于从一组无次序.无规则的样 ...

  3. SQL Server 2014连接不到服务器解决方法

    多半是不小心使用qq管家之类软件加速系统时把SQL Server(MSSSQL)不小心关闭了 解决方法如下(以WIN8为例):

  4. 01传智_jbpm与OA项目_整体项目架构

    oA项目: 项目结构如下:

  5. 【LeetCode OJ】Distinct Subsequences

    Problem Link: http://oj.leetcode.com/problems/distinct-subsequences/ A classic problem using Dynamic ...

  6. (转) Deep learning architecture diagrams

    FastML Machine learning made easy RSS Home Contents Popular Links Backgrounds About Deep learning ar ...

  7. 【Python之路Day12】网络篇之Python操作MySQL

    pymysql是Python中操作MySQL的模块,使用方法和MySQLDB几乎一样. 1. 执行SQL语句 #!/usr/bin/env python3 # -*- coding: utf-8 -* ...

  8. Linux 磁带机备份完全攻略

    一.确定数据备份策略 首先必须确定在备份过程中操作哪些文件.在商业环境中,这是非常困难的一个决定,而且会产生严重的影响.如果备份了太多数据,会导致备份系统的成本过于庞大,会削减其他方面的开支.如果没有 ...

  9. Web Fram 2 for IIS7.X(Microsoft Web Farm Framework)

    Microsoft Web Farm Framework (WFF) 2.0 是微软开发的.基于IIS 7.x的小插件,能够帮助我们轻松实现Web网站的高性能.高可用性,用来在Web服务器群上提供和管 ...

  10. PHP安装环境,服务器不支持curl_exec的解决办法

    转自:http://jingyan.baidu.com/article/00a07f38909c6b82d028dc83.html windows下开启方法: 拷贝PHP目录中的libeay32.dl ...