美文网首页
Tomcat服务器配置https双向认证(使用keytool生成

Tomcat服务器配置https双向认证(使用keytool生成

作者: yunxiu | 来源:发表于2018-03-11 15:18 被阅读0次

    转自:http://www.hangge.com/blog/cache/detail_992.html

    一,HTTPS原理

    1,HTTP、HTTPS、SSL、TLS介绍与相互关系

    (1)HTTP:平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的(明文),因此使用HTTP协议传输隐私信息非常不安全。

    (2)HTTPS:为了保证隐私数据能加密传输,采用SSL/TLS协议用于对HTTP协议传输的数据进行加密,也就是HTTPS。

    (3)SSL:SSL(Secure Sockets Layer)协议是由网景公司设计,后被IETF定义在RFC 6101中。目前的版本是3.0。

    (4)TLS:TLS可以说是SSL的改进版。是由IETF对SSL 3.0进行了升级而出现的,定义在RFC 2246。实际上我们现在的HTTPS都是用的TLS协议。

    2,TLS/SSL特点

    (1)HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。

    (2)TLS/SSL中使用了非对称加密,对称加密以及HASH算法。

    其中非对称加密算法用于在握手过程中加密生成的密码,对称加密算法用于对真正传输的数据进行加密,而HASH算法用于验证数据的完整性。

    (3)TLS握手过程中如果有任何错误,都会使加密连接断开,从而阻止了隐私信息的传输。

    二,双向认证实现步骤1 - 证书的生成

    下面演示如何使用 Tomcat 服务器,通过HTTPS进行双向认证。证书的话这里使用 keytool 生成自签名证书。

    (注意:如果真正的商用系统建议使用向CA付费购买的证书。因为如果使用自签名证书的话,客户端对服务器的验证其实是抛给用户来判断(用户自己决定信任还是不信任))

    1,生成服务器证书

    (1)打开命令控制台,进入%JAVA_HOME%/bin目录

    1cd "c:\Program Files\Java\jre1.8.0_60\bin"

    (2)使用keytool为Tomcat生成证书

    1keytool -genkey -v -alias tomcat -keyalg RSA -keystore G:\tomcat.keystore -validity 36500

    (参数说明:“G:\tomcat.keystore”含义是将证书文件的保存路径,证书文件名称是tomcat.keystore;

    “-validity 36500”含义是证书有效期,36500表示100年,默认值是90天;“tomcat”为自定义证书名称)

    输入密钥库口令:keystore密码(假设使用hangge)

    您的名字与姓氏是什么:必须是TOMCAT部署主机的域名或者IP[如:hangge.com 或者 10.1.25.119](就是你将来要在浏览器中输入的访问地址),否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”。 

    输入 的密钥口令:直接回车

    2,生成客户端证书

    为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成:

    1keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore G:\mykey.p12

    假设客户端证书密码“123456”,其他随便填。

    3,让服务器信任客户端证书

    服务器要信任客户端证书,必须把客户端证书添加为服务器的信任认证。

    (1)由于不能直接将PKCS12格式的证书库导入,必须先把客户端证书导出为一个单独的CER文件,使用如下命令:

         (下面要用到客户端证书密码“123456”)

    1keytool -export -alias mykey -keystore G:\mykey.p12 -storetype PKCS12 -storepass 123456 -rfc -file G:\mykey.cer

    (2)将该文件导入到服务器的证书库,添加为一个信任证书使用命令如下:

    1keytool -import -v -file G:\mykey.cer -keystore G:\tomcat.keystore

    (3)通过 list 命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:

    1keytool -list -keystore G:\tomcat.keystore

    4,让客户端信任服务器证书

    由于是双向SSL认证,客户端也要验证服务器证书。把服务器证书导出为一个单独的CER文件提供给客户端,使用如下命令:

    1keytool -keystore G:\tomcat.keystore -export -alias tomcat -file G:\tomcat.cer

    5,经过上面操作,我们生成如下证书:

    三,双向认证实现步骤2 - 证书的使用

    1,服务器tomcat的配置

    打开Tomcat根目录下的/conf/server.xml,找到Connector port="8443"配置段,修改为如下:

    1

    2

    3

    4

    5

        SSLEnabled="true" maxThreads="150" scheme="https"

        secure="true" clientAuth="true" sslProtocol="TLS"

        keystoreFile="G:\\tomcat.keystore" keystorePass="hangge"

        truststoreFile="G:\\tomcat.keystore" truststorePass="hangge" />

    属性说明:

    clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证

    keystoreFile:服务器证书文件路径

    keystorePass:服务器证书密码

    truststoreFile:用来验证客户端证书的根证书,此例中就是服务器证书

    truststorePass:根证书密码

    测试服务端:

    浏览器输入https://localhost:8443/ (下图说明tomcat的https开启成功。报无效证书没关系,因为我们客户端还没导入证书)

    2,客户端证书导入

    (1)双击“mykey.p12”导入客户端证书

    再次使用浏览器访问服务端,浏览器会让我们选择使用的证书。

    但由于是自签名的证书,所以浏览器会警告我们不安全,选择继续好了:

    可以看到能成功访问了(地址栏“证书错误”说明目前还没双向验证,不过数据已经是使用HTTPS传输了):

    (2)导入服务器公钥证书(tomcat.cer)

    由于是自签名的证书,为避免每次都提示不安全。这里双击tomcat.cer安装服务器证书。

    注意:将证书填入到“受信任的根证书颁发机构”

    再次重新访问服务器,会发现没有不安全的提示了,同时浏览器地址栏上也有个“锁”图标,表示本次会话已经通过HTTPS双向验证。

    相关文章

      网友评论

          本文标题:Tomcat服务器配置https双向认证(使用keytool生成

          本文链接:https://www.haomeiwen.com/subject/hrlwfftx.html