Linux配置Tomcat 实现双向SSL认证
证书存在服务器端,用户通过浏览器访问时,需要证书上下载保存到本地,表示信任服务器。同样浏览器中的证书也需要保存到服务器的证书库中,表明当前浏览器的证书是可信的。
Keytool是一个Java数据证书的管理工具,Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中。在keystore里,包含两种数据:密钥实现(Key entity)--密钥(secret key)又或者是私钥和配对公钥(采用非对称加密), 可信任的证书实体(trusted certificate entries)-只包含公钥。
第一步:为服务器生成密钥(包含密钥实体和可信任的证书实体两部分)
使用keytool为tomcat生成密钥,如果目标机器的域名"localhost", keystore文件存放位置
########################################################
例:
linuxidc@0718:apache-tomcat-6.0.41$ keytool -genkey -validity 36000 -alias tomcat -keyalg RSA -keystore keystore/tomcat.keystore
输入keystore密码:
再次输入新密码:
您的名字与姓氏是什么?
[Unknown]: liqing
您的组织单位名称是什么?
[Unknown]: test
您的组织名称是什么?
[Unknown]: test
您所在的城市或区域名称是什么?
[Unknown]: beijing
您所在的州或省份名称是什么?
[Unknown]: beijing
该单位的两字母国家代码是什么
[Unknown]: zh
CN=liqing, OU=test, O=test, L=beijing, ST=beijing, C=zh 正确吗?
[否]: y
输入的主密码
(如果和 keystore 密码相同,按回车):
linuxidc@0718:apache-tomcat-6.0.41$
########################################################
如果tomcat所在服务器的域名不是"localhost",应改成对应的域名,如“www.baidu.com”
-genkey 表示生成密钥
-validity 指定有效期,单位天,这里是36000天
-alias 指定密钥别名,这里是tomcat
-keyalg 指定密钥算法,这里是RSA
-keypass 指定密钥别名密码
-keysize 指定密钥长度字节数,如1024
-keystore 指定密钥文件存储位置和文件名
第二步:为客户端生成密钥
keytool -genkey命令默认是生成keystore文件,但是为了将证书大得导入到IE和Firefox,用storetype 指定文件格式为PKCS12
########################################################
例:
linuxidc@0718:apache-tomcat-6.0.41$ keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12 -keystore keystore/myclient.p12 -dname "CN=MyKey,OU=cn,O=cn,L=cn,ST=cn,C=cn" -storepass 123456 -keypass 123456
正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):
CN=MyKey, OU=cn, O=cn, L=cn, ST=cn, C=cn
[正在存储 keystore/myclient.p12]
linuxidc@0718:apache-tomcat-6.0.41$
########################################################
之后,把myclient.p12证书导入到浏览器
第三步: 提取客户端证书的公钥
只是有了密钥库文件还不行,还需要一个证书文件。证书文件才是直接提供给外界使用的公钥凭证。将客户端密钥库文件的公钥导出到证书文件中。
########################################################
例:
linuxidc@0718:apache-tomcat-6.0.41$ keytool -export -alias myKey -keystore keystore/myclient.p12 -storetype PKCS12 -rfc -file keystore/myclient.cer
输入keystore密码:
保存在文件中的认证
linuxidc@0718:apache-tomcat-6.0.41$
#密码输入第二步设置密码:123456
########################################################
-export 将别名指定的密钥导出到证书文件
-keystore 指定keystore文件
-alias 需要导出的别名
-file 指向导出路径和证书文件名
-rfc 以文本格式输出,也就是以BASE64编码输出
由于是双向SSL认证,服务器必须要有客户端的公钥,因此,需要将上面的客户端证书文件(实际应用中,这个证书文件同CA认证中心生成提供)导入服务器证书中。
########################################################
例:
linuxidc@0718:apache-tomcat-6.0.41$ keytool -import -v -file keystore/myclient.cer -keystore keystore/tomcat.keystore
输入keystore密码:
所有者:CN=MyKey, OU=cn, O=cn, L=cn, ST=cn, C=cn
签发人:CN=MyKey, OU=cn, O=cn, L=cn, ST=cn, C=cn
序列号:5541e6db
有效期: Thu Apr 30 16:24:59 CST 2015 至Wed Jul 29 16:24:59 CST 2015
证书指纹:
MD5:83:4C:E9:3E:EC:40:BB:8D:BC:7F:95:04:C9:35:31:F1
SHA1:8C:A4:8E:A5:D1:3B:AD:D2:67:C9:1D:74:8B:E9:ED:70:6A:16:6C:58
签名算法名称:SHA1withRSA
版本: 3
信任这个认证? [否]: y
认证已添加至keystore中
[正在存储 keystore/tomcat.keystore]
linuxidc@0718:apache-tomcat-6.0.41$
#密码输入第二步设置密码:123456
########################################################
通过list命令查看服务器的证书库,我们可以看到两条记录,一个服务器的证书,一个是受創作的客户端证书:
keytool -list -v -keystore keystore/tomcat.keystore -storepass 123456
第四步:配置tomcat服务器
打开tomcat主目录下的conf/server.xml,找到下面几行,去掉修改为:
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="/home/ccdtlinuxidc/workspace/Servers/apache-tomcat-6.0.41/keystore/tomcat.keystore" keystorePass="123456"
truststoreFile="/home/ccdtlinuxidc/workspace/Servers/apache-tomcat-6.0.41/keystore/tomcat.keystore" keystorePass="123456" />
第五步: 导入客户端证书
将myclient.p12证书导入浏览器
第六步: 重启tomcat服务
bin/shutdown.sh
bin/startup.sh
在浏览器地址栏中输入https://localhost:8443/便可访问