from:http://www.designxf.com/Article/200607/5791810.htm
Tomcat雙向認證的問題這么多,貼一篇我總結的Tomcat雙向認證方法
tomcat實現SSL配置?
編輯tomcat的配置文件server.xml,去掉下面SSL?Connector的注釋,修改為如下:
??<!--?Define?an?SSL?HTTP/1.1?Connector?on?port?8443?-->
??<Connector?className="org.apache.catalina.connector.http.HttpConnector"
??????????port="8443"?minProcessors="5"?maxProcessors="75"
??????????enableLookups="true"
????acceptCount="10"?debug="0"?scheme="https"?secure="true">
????<Factory?className="org.apache.catalina.net.SSLServerSocketFactory"
??????????clientAuth="false"?keystoreFile="tomcat.keystore"
??????????keystorePass="tomcat"?protocol="TLS"/>
??</Connector>
keystoreFile的路徑是TOMCAT的安裝路徑下的tomcat.keystore(使用keytool生成的證書庫文件)
>keytool?-genkey?-alias?tomcat?-keyalg?RSA?-keysize?1024?-validity?365?-keystore?tomcat.keystore
keystoreFile保存了服務器端的證書庫,用于客戶端認證。
常用的配置屬性:
clientAuth
如果想要Tomcat為了使用這個socket而要求所有SSL客戶出示一個客戶證書,置該值為true。?
keystoreFile
如果創建的keystore文件不在Tomcat認為的缺省位置(一個在Tomcat運行的home目錄下的叫.keystore的文件),則加上該屬性。可以指定一個絕對路徑或依賴$CATALINA_BASE環境變量的相對路徑。
keystorePass
如果使用了一個與Tomcat預期不同的keystore(和證書)密碼,則加入該屬性。?
keystoreType
如果使用了一個PKCS12?keystore,加入該屬性。有效值是JKS和PKCS12。?
sslProtocol
socket使用的加密/解密協議。如果使用的是Sun的JVM,則不建議改變這個值。據說IBM的1.4.1版的TLS協議的實現和一些流行的瀏覽器不兼容。這種情況下,使用SSL。?
ciphers
此socket允許使用的被逗號分隔的密碼列表。缺省情況下,可以使用任何可用的密碼。?
algorithm
使用的X509算法。缺省為Sun的實現(SunX509)。對于IBM?JVMS應該使用ibmX509。對于其它JVM,參考JVM文檔取正確的值。?
truststoreFile
用來驗證客戶證書的TrustStore文件。?
truststorePass
訪問TrustStore使用的密碼。缺省值是keystorePass。?
truststoreType
如果使用一個不同于正在使用的KeyStore的TrustStore格式,加入該屬性。有效值是JKS和PKCS12。?
使用https://localhost:8443?就可以進行ssl連接的檢測
----------------------------------------------------------------------------------------
上訴的SSL連接是客戶端單向認證服務器,如果雙向認證,將server.xml文件的Connector配置
clientAuth="false"?
Java服務器端的證書庫,服務器認證客戶端時使用的根證書庫。
證書庫位置:JAVA_HOME/jre/lib/security/cacerts?keystore密碼為:changeit
將客戶端個人證書的根證書導入服務器的證書庫,就可以認證客戶端。
服務器端證書的生成:
>keytool?-genkey?-alias?tomcat?-keyalg?RSA?-keysize?1024?-validity?365?-keystore?tomcat.keystore
>keytool?-certreq?-alias?tomcat?-file?Server.csr?-keystore?tomcat.keystore?生成證書請求文件
使用openssl命令用根證書簽名,再導入簽名證書
>keytool?-import?-trustcacerts?-alias?tomcat?-file?Server.pem?-keystore?tomcat.keystore
注意-trustcacerts選項,使用服務器的證書庫認證該證書,首先要將根證書導入cacerts中。
----------------------------------------------------------------------------------------
Tomcat配置SSL,我出現的問題
我用openssl創建了CA證書,Server證書,Client證書。
使用keytool將Server證書導入tomcat.keystore文件中,將Tomcat的配置文件server.xml關于SSL的配置設為keystoreFile=tomcat.keystore.SSL連接時,客戶端認證tomcat.keystore中的服務器證書。
將CA證書導入$JAVA_HOME\jre\lib\security\cacerts這個keystore中,用于驗證客戶端證書。
在IE中安裝CA證書和Client證書(pkcs12,包含私鑰的個人證書形式)。
建立SSL連接https://localhost:8443,連接失敗。
經過反復思量,知道問題所在,SSL連接時,客戶端認證服務器時,需要驗證服務器的簽名,那么tomcat.keystore中就應該有Server的私鑰。所以導入Server證書時,應該導入包含私鑰的Server證書。
keytool命令不能導入私鑰文件,可以通過在keystore中生成自簽名證書,導出證書請求,用CA證書簽名后,在導回的方法。
導回簽名證書的過程
>keytool?-import?-trustcacerts?-alias?tomcat?-file?Server.pem?-keystore?tomcat.keystore
注意-trustcacerts選項,使用服務器的證書庫認證該證書,首先要將根證書導入Java的根證書庫中:JAVA_HOME\jre\lib\security\cacerts中。
----------------------------------------------------------------------------------------
分析IE實現實現SSL連接的中的證書雙向認證過程
在地址欄中輸入https://localhost:8443
客戶端向服務器發送hello消息,tomcat服務器偵聽8443端口,收到SSL連接的hello消息,服務器發送server?certificate,并且發送client?certificate?request.客戶端IE收到server?certificate后取出issuer項,和IE受信任的根證書庫中證書的subject比對,找到合適的根證書認證server?certificate。并且同時向服務器發送client?certificate,服務器收到client?certificate后,tomcat服務器查找根證書庫cacerts中的根證書的suject,找到合適的根證書認證client?certificate.在認證的同時完成密鑰協商。客戶端認證結束后,IE會彈出"安全警報"對話框,用戶可以查看服務器證書,以及服務器證書是否受信任,可以選擇是否繼續SSL連接。地震讓大伙知道:居安思危,才是生存之道。
posted on 2007-03-11 11:21
小尋 閱讀(15660)
評論(0) 編輯 收藏 所屬分類:
j2se/j2ee/j2me