X.509 学习(f��n)�W�记详解

紫蝶∏飛揚↗ — Thu, 03 Mar 2011 08:19:00 GMT

X.509完结

参考文�? �l�极武器—数字证�?http://book.51cto.com/art/201004/192437.htm

用SSL�q�行双向�w�䆾验证意思就是在客户��接服务器�Ӟ��链接双方都要对彼此的数字证书�q�行验证�Q�保证这
是经�q�授权的才能够连接（我们链接一般的SSL旉��用的是单向验证，客户机只验证服务器的证书�Q�服务器不验证客�?br /> 机的证书。而连接网上银行时使用的U监ְ�是用来存储进行双向验证所需要的客户端证书的�Q��?/p>

�? 证书更改操作(导入,删除�{?,都必需重启WEB应用.否则证书库的�~�存无法清除.一般客��L(f��ng)��的证书不需吊销,也没意义,直接让其无法登陆��p��.
spring security3 的X.509配置在双向认证中,可直接登�?即网银中使用U监ְ�可以不用输入用户名和密码直接��d��pȝ��.

获得安全证书有两�U�方式：(x��)
(1)一�U�方式是到权威机构CA购买
要获得数字证书，我们需要��用数字证书管理工��P��如KeyTool和OpenSSL�Q�构建CSR�Q�Certificate Signing Request�Q�数字证书签发申��P��Q�交由CA机构�{�֏��Q?/p>

形成最�l�的数字证书�?br /> (2)�q�有一�U�方式是创徏自我�{�֐�的证�?/p>

keystore:keystore扩展名的文�g(即JKS�c�d��)中一般保存的是我们的�U�钥�Q�用来加解密或者�ؓ(f��)别�h做签�?br /> truestore:保存的是一些可信�Q的证书，主要是访问某个https的时候对讉K��者进行认证，以确保其可信仅R�?br /> truststore:双向认证中是必须的，如果没有昑ּ�的指定，默认指定�?JAVA_HOME/lib/security/cacerts �q�个文�g�?br /> 双向SSL认证�Q�服务器必须要信��d��L(f��ng)��证书�Q�因此，必须把客��L(f��ng)��证书��d��为服务器的信任认证中�?�?JAVA_HOME/lib/security/cacerts �q�个文�g
1�Q�KeyStore: 其中保存服务端的�U�钥
2�Q�Trust KeyStore:其中保存客户端的授权证书

一.Keytool是一个Java数据证书的管理工兗��?
1.keystore 文�g
Keytool是一个证书库文�g,可将N个密钥（key�Q�和证书�Q�certificates�Q�存在一个称为keystore的文件中,也即N个条目的意�?
在keystore里，包含两种对应的数据：(x��)
(1)密钥实体�Q�Key entity�Q? 密钥�Q�secret key�Q�又或者是�U�钥和配对公钥（采用非对�U�加密）
(2)可信�ȝ��证书实体�Q�trusted certificate entries�Q? 也可�U�Cؓ(f��)公钥.

2.参数说明
参数说明�Q?
-genkey 创徏证书�?
-import      ��已�{�֐�数字证书导入密钥�?nbsp; keytool -import -alias sage -keystore sagely -file sagely.crt
             导入已签名数字证书用keytool -list -v 以后可以明显发现多了认证��N��度，�q�且把整个CA铑օ�部打印出来�?br /> -delete 删除指定别名的条�?密钥�?qi��ng)证�?
-trustcacerts 表示��数字证书导入信��d��?br /> -alias 密钥别名(��L��不重�?.证书实体兌��着密钥实体,可通过别名删除整个条目(证书).
-dname 表示密钥的Distinguished Names�Q?
        CN=commonName 卛_��于服端证书时为网站域�?客户端则��L��.通常使用域名或带有通配�W?#8220;*”的泛域名�Q�如“*.zlex.org”标识用户�w�䆾�?br />         OU=organizationUnit
        O=organizationName
        L=localityName
        S=stateName
        C=country
Distinguished Names表明了密钥的发行者��n�?
-keyalg   指定密钥的加密算法，支持RSA(通常)和DSA�?�U�算法，默认��法为DSA�?br /> -keypass 密钥的密�?/p>

-keystore 指定keystore文�g�?qi��ng)�\�?产生的信息存�?keystore文�g�?
如果不设�|?则默认在操作�pȝ��的当前用�?如ALGZ)目录下生成名�?#8220;.keystore”的文�?�q�会(x��)产生一个mykey的密钥别�?mykey中包含用��L(f��ng)��公钥、私钥和证书�?br /> 在Wnidows下，文�g的位�|��ؓ(f��)�Q�C:\Documents and Settings\ALGZ\.keystore
在Linux下，该文件的位置为：(x��)home\ALGZ\.keystore

-storepass 讉K��keystore(密钥�?的密码，�q�个密码提供�pȝ��从mykeystore文�g中将信息取出
-validity 该密钥的有效�?以天为单�?/p>

-keysize 指定密钥长度,以位为单�?
-file 参数指定导出证书的文件名.
-sigalg 指定数字�{�֐��法�Q�这里指定�ؓ(f��)SHA1withRSA��法,通常不用讄��?br /> -rfc 指定以Base64�~�码格式输出,通常不设�|��?/p>

3.使用步骤:
(1)生成证书�?br /> 生成密钥�Q��ƈ以证书库文�g方式保存
keytool -genkey -alias bogus -keysize 512 -validity 3650 -keyalg RSA -dname "CN=bogus.com, OU=XXX CA, O=Bogus Inc, L=Stockholm, S=Stockholm,

C=SE" -keypass boguspw -storepass boguspw -keystore sean.cert

2.导出证书
从证书库�?-keystore)��指定别名的证书导出��书文�?-file)
例如�Q�keytool -export -keystore monitor.keystore -alias monitor -file monitor.cer
��把证书�?monitor.keystore 中的别名�?monitor 的证书导出到 monitor.cer 证书文�g�?它包含证书主体的信息�?qi��ng)证书的公钥�Q�不包括�U�钥�Q�可以公开�?br /> keytool -export -keystore d2aApplet.keystore -alias RapaServer -file Rapa.cert -storetype IAIKKeystore

3.导入证书
��指定别名的证书(-file)中导入到keystore证书�?-keystore)�?br /> �q�里向Java默认的证�?cacerts导入Rapa.cert
keytool -import -alias RapaServer -keystore cacerts -file Rapa.cert
通常该命令用以导入来自CA中心的证书（Importing a Certificate for the CA�Q?

4.删除证书库中的条�?卛_��钥实体与证书实体)
keytool -delete -alias RapaServer -keystore d2aApplet.keystore �Q�这条命令将 d2aApplet.keystore 中的 RapaServer �q�一条证书删除了�?/p>

5.证书条目口��o(h��)的修�?br /> 使用 -keypasswd 参数�Q�如�Q�keytool -keypasswd -alias RapaServer -keystore d2aApplet.keystore�Q�可以以交互的方式修�?d2aApplet.keystore证书库中的条�?/p>

�?RapaServer 的证书�?br /> Keytool -keypasswd -alias RapaServer -keypass 654321 -new 123456 -storepass 888888 -keystore d2aApplet.keystore�q�一行命令以非交互式的方式修改库

中别名�ؓ(f��) RapaServer 的证书的密码为新密码 654321�Q�行中的 123456 是指该条证书的原密码�Q?888888 是指证书库的密码�?/p>

6. 导出证书到新的TrustStore(信�Q的证书库)
keytool -import -alias 别名 -file 文�g�?-keystore truststore

7. 查看Keystore文�g内容
�q�入JDK安装目录下的bin目录�Q�运行keytool命��o(h��)�?
keytool -list -keystore C:\keystore.jks -storepass password

-v 昄��密钥库中的证书详�l�信�?/p>

***********************************************

cacerts证书文�g(The cacerts Certificates File)
证书文�g存在于java.home\lib\security目录下，是Java�pȝ��的CA证书仓库

CA证书的导入（Importing Certificates�Q?
命��o(h��)�Q?br /> 引用
keytool -import -alias joe -file jcertfile.cer

�q�个命��o(h��)��证书文件jcertfile.cer中别名�ؓ(f��)joe的证书导入系�l�的受信任证书列表中
通常该命令用以导入来自CA中心的证书（Importing a Certificate for the CA�Q?

导入被CA中心授权的证书（Importing the Certificate Reply from the CA�Q?
命��o(h��)�Q?br /> 引用
keytool -import -trustcacerts -file VSMarkJ.cer

证书的导出（Exporting Certificates�Q?
命��o(h��)�Q?br /> 引用
keytool -export -alias jane -file janecertfile.cer

�q�个命��o(h��)��别名�ؓ(f��)jane的证书导出到证书文�gjcertfile.cer�?
生成的证书可以交付客��L(f��ng)��用户使用�Q�用以进行SSL通讯�Q�或者伴随电(sh��)子签名的jar包进行发布者的�w�䆾认证�?/p>

*************************************

�|�上有许多教�E�，但没有说�?43�?443,http与https的区别，让�h试来试去��L��不爽的地斏V��没有说明怎样��试�Q�呵呵，我说明一下：(x��)

Tomcat6配置HTTPS

我��用的JDK版本为JDK6�Q��用的的Tomcat版本�?�Q�配�|�Tomcat下的HTTPS其实很简单，只需要完成两步工作就可以了；SSL认证分双向认证和单向认证�Q�如

果�ؓ(f��)双向认证则客��L(f��ng)��也需要安装已生成好的文�g�?/p>

我把生成�?#8220;服务器证书文�?#8221;取名为server.jks。简单�v见，我把server.jks攑֜�D盘根目录下面,配置环境为windows.
首先使用JDK自带的工具keytool生成一�?#8220;服务器证�?#8221;�Q�取名�ؓ(f��)server.jks�?/p>

一.tomcat6配置双向认证

1、生成服务器端证�?br /> x:\>keytool -genkey -keyalg RSA -dname "cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn"
-alias server -keypass password -keystore d:\server.jks -storepass password -validity 3650
服务端的CN值必��Mؓ(f��)域名,不然客户端认证时为非�?

2、生成客��L(f��ng)��证书
X:\>keytool -genkey -keyalg RSA -dname “cn=sango,ou=sango,o=none,l=china,st=beijing,c=cn”
-alias custom -storetype PKCS12 -keypass password -keystore d:\custom.p12
-storepass password -validity 3650
客户端的CN可以是�Q意倹{�?/p>

3、由于是双向SSL认证�Q�服务器必须要信��d��L(f��ng)��证书�Q�因此，必须把客��L(f��ng)��证书��d��为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入�Q�我�?/p>

(1)必须先把客户端证书导��Zؓ(f��)一个单独的CER文�g�Q��用如下命令，先把客户端证书导��Zؓ(f��)一个单独的cer文�g�Q?br /> X:\>keytool -export -alias custom -file d:\custom.cer -keystore d:\custom.p12 -storepass password -storetype PKCS12 -rfc
(2)然后�Q�添加客��L(f��ng)��证书到服务器中（��已�{�֐�数字证书导入密钥库）
X:\>keytool -import -v -alias custom -file d:\custom.cer -keystore d:\server.jks -storepass password

4、查看证书详�l?-v)内容
keytool -list -v -keystore d:\server.jks -storepass password

5、配�|�tomcat service.xml文�g
clientAuth=“true” sslProtocol=“TLS”
keystoreFile="D:/server.jks" keystorePass="password"
truststoreFile="D:/server.jks" truststorePass="password" />

不设�|�truststoreFile,truststorePass属�?即默认指�?%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS"文�g(JKS�c�d��),则在双向认证�?需把客��L(f��ng)��认证导入到此

文�g�?
clientAuth=”true”表示双向认证

6、导入客��L(f��ng)��证书到浏览器
双向认证需要强刉��证客��L(f��ng)��证书。双�?#8220;custom.p12”卛_��证书导入至IE

�?tomcat6配置单向认证

1、生成服务器端证�?br /> X:\>keytool -genkey -keyalg RSA -dname “cn=localhost,ou=sango,o=none,l=china,st=beijing,c=cn”
-alias server -keypass password -keystore d:\server.jks -storepass password -validity 3650

2、由于是单向认证�Q�没有必要生成客��L(f��ng)��的证书，直接�q�入配置tomcat service.xml文�g,Xml代码
maxThreads=”150″ scheme=”https” secure=”true”
clientAuth=”false” sslProtocol=”TLS”
keystoreFile=”D:/server.jks” keystorePass=”password”/>

clientAuth=”false”表示单向认证�Q�同时去掉服务端的可信�Q认证,�?truststoreFile=”D:/server.jks” truststorePass=”password”�q?个属�?.

��试说明�Q?/p>

1.��h��意本机测试的�|�址是：(x��)https://localhost:8443

2.如果��tomcat�?server.xml �?443 更改�?443,注意本机�?43是否开启�?/p>

3.如果你的tomcat 使用了http://localhost:8080,��试�|�址也是https://localhost:8443

其它�Q�当使用https讉K��某一域名�Ӟ��览器默认访问服务器�?43端口。内部处理后�Q�再转向80处理。所以ssl 全称Security Socket Layer, 加密套接字协议层 �?/p>

字没有改错，只是一个加密层

紫蝶∏飛揚↗ 2011-03-03 16:19 发表评论

紫蝶∏飛揚↗ — Thu, 10 Feb 2011 02:29:00 GMT

��Z��角色的访问控�Ӟ��Role-Based Access Control�Q�作��Z��l�访问控�Ӟ��自主讉K��Q�强制访问）的有前景的代替受到广泛的��x��。在RBAC中，权限与角色相兌��Q�用户通过成�ؓ(f��)适当角色的成员而得到这些角色的权限。这��极大地��化了权限的管理。在一个组�l�中�Q�角色是��Z��完成各种工作而创造，用户则依据它的责��d��资格来被指派相应的角�Ԍ��用户可以很容易地从一个角色被指派到另一个角艌Ӏ�角色可依新的需求和�pȝ��的合�q�而赋予新的权限，而权限也可根据需要而从某角色中回收。角色与角色的关�p�d��以徏立�v来以囊括更广泛的客观情况�?/p> RBAC认�ؓ(f��)权限授权实际上是Who、What、How的问题。在RBAC模型中，who、what、how构成了访问权限三元组,也就�?#8220;Who对What(Which)�q�行How的操�?#8221;�?　　
Who�Q�权限的拥用者或��M��Q�如Principal、User、Group、Role、Actor�{�等�Q?　　
What�Q�权限针对的对象或资源（Resource、Class�Q��?　　
How�Q�具体的权限�Q�Privilege,正向授权与负向授权）�?　　Operator�Q�操作。表明对What的How操作。也��是Privilege+Resource 　　
Role�Q�角�Ԍ��一定数量的权限的集合。权限分配的单位与蝲�?目的是隔��User与Privilege的逻辑关系. 　　
Group�Q�用��L(f��ng)��Q�权限分配的单位与蝲体。权限不考虑分配�l�特定的用户而给�l�。组可以包括�l?以实现权限的�l�承)�Q�也可以包含用户�Q�组内用��L(f��ng)��承组的权限。User与Group是多对多的关�p�R��Group可以层次化，以满��不同层�U�权限控制的要求�?　　
RBAC的关注点在于Role和User, Permission的关�p�R��称为User assignment(UA)和Permission assignment(PA).关系的左右两辚w��是Many-to-Many关系。就是user可以有多个role�Q�role可以包括多个user�?　　
凡是用过RDBMS都知道，n:m 的关�p�需要一个中间表来保存两个表的关�p�R��这UA和PA��q��当于中间表。事实上�Q�整个RBAC都是��Z��关系模型�?　　Session在RBAC中是比较隐晦的一个元素。标准上��_(d��)��(x��)每个Session是一个映��，一个用户到多个role的映��。当一个用��h��z�M��所有角色的一个子集的时候，建立一个session。每个Session和单个的user兌��Q��ƈ且每个User可以兌��C��或多个Session. 　　
在RBAC�pȝ��中，User实际上是在扮演角�?Role)�Q�可以用Actor来取代User�Q�这个想法来自于Business Modeling With UML一书Actor-Role模式。考虑到多人可以有相同权限�Q�RBAC引入了Group的概��c(di��n)��Group同样也看作是Actor。而User的概念就兯��C��个�h�?　　
�q�里的Group和GBAC�Q�Group-Based Access Control�Q�中的Group�Q�组�Q�不同。GBAC多用于操作系�l�中。其中的Group直接和权限相兌��Q�实际上RBAC也借鉴了一些GBAC的概��c(di��n)�?　　
Group和User都和�l�织机构有关�Q�但不是�l�织机构。二者在概念上是不同的。组�l�机构是物理存在的公司结构的抽象模型�Q�包括部门，人，职位�{�等�Q�而权限模型是�Ҏ(gu��)��象概忉|��q�。组�l�结构一般用Martin fowler的Party或责��L��式来建模�?　　
Party模式中的Person和User的关�p�，是每个Person可以对应��C��个User�Q�但可能不是所有的User都有对应的Person。Party中的部门Department或组�l�Organization�Q�都可以对应到Group。反之Group未必对应一个实际的机构。例如，可以有副�l�理�q�个Group�Q�这是多人有相同职责�?　　
引入Group�q�个概念�Q�除了用来解军_��人相同角色问题外�Q�还用以解决�l�织机构的另一�U�授权问题：(x��)例如�Q�A部门的新��L��希望所有的A部门的�h都能看。有了这样一个A部门对应的Group�Q�就可直接授权给�q�个Group�?

紫蝶∏飛揚↗ 2011-02-10 10:29 发表评论

国产福利在线,亚洲乱码国产乱码精品精,亚洲成人精品一区二区三区

X.509 学习(f��n)�W�记详解