最近要做一個登錄時數字證書驗證的功能,在用戶登錄時除了效驗用戶名密碼,還需驗證其數字證書。
相關資源:
IBM developerWroks中國中的
tomcat4中使用SSL,
javaeye中的
Acegi X.509雙向認證
與
tomcat4中使用SSL中的異同:jdk1.4中已經包含JSSE。
與
AcegiX.509雙向認證中的異同:tomcat6配置文件多了SSLEnabled="true"屬性。
1.生成CA證書。目前不使用第三方權威機構的CA來認證,自己充當CA的角色。
1.創建私鑰 :C:\OpenSSL\apps>openssl genrsa -out root/root-key.pem 1024
2.創建證書請求 :C:\OpenSSL\apps>openssl req -new -out root/root-req.csr -key root/root-key.pem
3.自簽署證書 :C:\OpenSSL\apps>openssl x509 -req -in root/root-req.csr -out root/root-cert.pem -signkey
root/root-key.pem -days 3650
4.將證書導出成瀏覽器支持的.p12格式 :C:\OpenSSL\apps>openssl pkcs12 -export -clcerts -in root/root-cert.pem -inkey
root/root-key.pem -out root/root.p12
2.生成server證書。
1.創建私鑰 :C:\OpenSSL\apps>openssl genrsa -out server/server-key.pem 1024
2.創建證書請求 :C:\OpenSSL\apps>openssl req -new -out server/server-req.csr -key server/server-key.pem
3.自簽署證書 :C:\OpenSSL\apps>openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey
server/server-key.pem -CA root/root-cert.pem -CAkey root/root-key.pem -CAcreateserial -days 3650
4.將證書導出成瀏覽器支持的.p12格式 :C:\OpenSSL\apps>openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey
server/server-key.pem -out server/server.p12
3.生成client證書。
1.創建私鑰 :C:\OpenSSL\apps>openssl genrsa -out client/client-key.pem 1024
2.創建證書請求 :C:\OpenSSL\apps>openssl req -new -out client/client-req.csr -key client/client-key.pem
3.自簽署證書 :C:\OpenSSL\apps>openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey
client/client-key.pem -CA root/root-cert.pem -CAkey root/root-key.pem -CAcreateserial -days 3650
4.將證書導出成瀏覽器支持的.p12格式 :C:\OpenSSL\apps>openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey
client/client-key.pem -out client/client.p12
4.根據root證書生成jks文件
C:\OpenSSL\apps\root>keytool -import -v -trustcacerts -storepass password -alias root -file root-cert.pem
-keystore root.jks
5.配置tomcat ssl,修改conf/server.xml。tomcat6中多了SSLEnabled="true"屬性。
keystorefile, truststorefile設置為你正確的相關路徑
xml 代碼
- <connector secure="true" scheme="https" protocol="HTTP/1.1" port="8443"
- sslenabled="true" maxhttpheadersize="8192" maxthreads="150"
- minsparethreads="25" maxsparethreads="75" enablelookups="false"
- disableuploadtimeout="true" acceptcount="100" sslprotocol="TLS"
- clientauth="true" keystorefile="d:/path/bin/x509/server.p12"
- keystoretype="PKCS12" keystorepass="123456" truststorefile="d:/path/bin/x509/root.jks"
- truststoretype="JKS" truststorepass="123456"/>
6.將root.p12,client.p12分別導入到IE中去(打開IE->;Internet選項->內容->證書)。
root.p12導入至受信任的根證書頒發機構,client.p12導入至個人
7.訪問你的應用
http://ip:8443,如果配置正確的話會出現請求你數字證書的對話框。
8.在jsp中取得符合x.509格式的證書
- <%
-
- X509Certificate[] ca=(X509Certificate[])request.getAttribute("javax.servlet.request.X509Certificate");
- if(ca==null)
- {
- out.println("No cert info!");
- } else {
- String serial=ca[0].getSerialNumber().toString();
- String DN=ca[0].getSubjectDN().toString();
- }
- %>