你好,游客 登录 注册 搜索
背景:
阅读新闻

Linux配置Tomcat 实现双向SSL认证

[日期:2016-09-12] 来源:Linux社区  作者:Linux [字体: ]

证书存在服务器端,用户通过浏览器访问时,需要证书上下载保存到本地,表示信任服务器。同样浏览器中的证书也需要保存到服务器的证书库中,表明当前浏览器的证书是可信的。

Keytool是一个Java数据证书的管理工具,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中。在keystore里,包含两种数据:密钥实现(Key entity)--密钥(secret key)又或者是私钥和配对公钥(采用非对称加密), 可信任的证书实体(trusted certificate entries)-只包含公钥。

第一步:为服务器生成密钥(包含密钥实体和可信任的证书实体两部分)

使用keytool为tomcat生成密钥,如果目标机器的域名"localhost", keystore文件存放位置
########################################################
例:
linuxidc@0718:apache-tomcat-6.0.41$ keytool -genkey -validity 36000 -alias tomcat -keyalg RSA -keystore keystore/tomcat.keystore
输入keystore密码: 
再次输入新密码:
您的名字与姓氏是什么?
  [Unknown]:  liqing
您的组织单位名称是什么?
  [Unknown]:  test
您的组织名称是什么?
  [Unknown]:  test
您所在的城市或区域名称是什么?
  [Unknown]:  beijing
您所在的州或省份名称是什么?
  [Unknown]:  beijing
该单位的两字母国家代码是什么
  [Unknown]:  zh
CN=liqing, OU=test, O=test, L=beijing, ST=beijing, C=zh 正确吗?
  [否]:  y


输入的主密码
(如果和 keystore 密码相同,按回车): 
linuxidc@0718:apache-tomcat-6.0.41$
########################################################
如果tomcat所在服务器的域名不是"localhost",应改成对应的域名,如“www.baidu.com”
-genkey 表示生成密钥
-validity 指定有效期,单位天,这里是36000天
-alias 指定密钥别名,这里是tomcat
-keyalg 指定密钥算法,这里是RSA
-keypass 指定密钥别名密码
-keysize 指定密钥长度字节数,如1024
-keystore 指定密钥文件存储位置和文件名


第二步:为客户端生成密钥
    keytool -genkey命令默认是生成keystore文件,但是为了将证书大得导入到IE和Firefox,用storetype 指定文件格式为PKCS12
########################################################
例:
linuxidc@0718:apache-tomcat-6.0.41$ keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12 -keystore keystore/myclient.p12 -dname "CN=MyKey,OU=cn,O=cn,L=cn,ST=cn,C=cn" -storepass 123456 -keypass 123456
正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):
CN=MyKey, OU=cn, O=cn, L=cn, ST=cn, C=cn
[正在存储 keystore/myclient.p12]
linuxidc@0718:apache-tomcat-6.0.41$
########################################################
之后,把myclient.p12证书导入到浏览器


第三步: 提取客户端证书的公钥
只是有了密钥库文件还不行,还需要一个证书文件。证书文件才是直接提供给外界使用的公钥凭证。将客户端密钥库文件的公钥导出到证书文件中。
########################################################
例:
linuxidc@0718:apache-tomcat-6.0.41$ keytool -export -alias myKey -keystore keystore/myclient.p12 -storetype PKCS12 -rfc -file keystore/myclient.cer
输入keystore密码: 
保存在文件中的认证
linuxidc@0718:apache-tomcat-6.0.41$
#密码输入第二步设置密码:123456
########################################################
-export 将别名指定的密钥导出到证书文件
-keystore 指定keystore文件
-alias 需要导出的别名
-file 指向导出路径和证书文件名
-rfc 以文本格式输出,也就是以BASE64编码输出
由于是双向SSL认证,服务器必须要有客户端的公钥,因此,需要将上面的客户端证书文件(实际应用中,这个证书文件同CA认证中心生成提供)导入服务器证书中。
########################################################
例:
linuxidc@0718:apache-tomcat-6.0.41$ keytool -import -v -file keystore/myclient.cer -keystore keystore/tomcat.keystore
输入keystore密码: 
所有者:CN=MyKey, OU=cn, O=cn, L=cn, ST=cn, C=cn
签发人:CN=MyKey, OU=cn, O=cn, L=cn, ST=cn, C=cn
序列号:5541e6db
有效期: Thu Apr 30 16:24:59 CST 2015 至Wed Jul 29 16:24:59 CST 2015
证书指纹:
MD5:83:4C:E9:3E:EC:40:BB:8D:BC:7F:95:04:C9:35:31:F1
SHA1:8C:A4:8E:A5:D1:3B:AD:D2:67:C9:1D:74:8B:E9:ED:70:6A:16:6C:58
签名算法名称:SHA1withRSA
版本: 3
信任这个认证? [否]:  y
认证已添加至keystore中
[正在存储 keystore/tomcat.keystore]
linuxidc@0718:apache-tomcat-6.0.41$
#密码输入第二步设置密码:123456
########################################################
通过list命令查看服务器的证书库,我们可以看到两条记录,一个服务器的证书,一个是受創作的客户端证书:
keytool -list -v -keystore keystore/tomcat.keystore -storepass 123456


第四步:配置tomcat服务器
打开tomcat主目录下的conf/server.xml,找到下面几行,去掉修改为:


              maxThreads="150" scheme="https" secure="true"
              clientAuth="true" sslProtocol="TLS"
      keystoreFile="/home/ccdtlinuxidc/workspace/Servers/apache-tomcat-6.0.41/keystore/tomcat.keystore" keystorePass="123456"
      truststoreFile="/home/ccdtlinuxidc/workspace/Servers/apache-tomcat-6.0.41/keystore/tomcat.keystore" keystorePass="123456" />


第五步: 导入客户端证书
将myclient.p12证书导入浏览器
第六步: 重启tomcat服务
bin/shutdown.sh
bin/startup.sh
在浏览器地址栏中输入https://localhost:8443/便可访问

本文永久更新链接地址http://www.linuxidc.com/Linux/2016-09/135132.htm

linux
相关资讯       SSL双向认证  Tomcat双向认证 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款