linux上tomcat6配置SSL双向认证实现https安全访问【原创笔记】

不说废话，直接上过程笔记：

1 使用工具：

apache-tomcat-6.0.29

jdk1.6.23

2 过程描述：

       2.1 在我方的服务器上，通过jdk工具keytool生成密钥对以及个人证书（其实就是认证申请文件.csr）。结果在我方生成两个文件，分别是：tian.cer（导出的个人证书），tian.csr（输出的认证签名申请文件）。

       2.2 将生成的tian.csr发送给个CA方，他们会根据这个生成以下文件返回给我方：

Tian.crt（认证后的我方服务器端的数字证书），Ct2.crt（电信根证书），test.p12（带私钥的个人证书）。以下是解释：

根证书(ct2.crt）用于信任网站；个人证书（test.p12)用于向网站表明自己的身份。双向。tomcat安装ct2.crt、tian.crt，这个是向客户端证明tomcat的身份；

客户端安装ct2.crt、test.p12，这个是向tomcat服务器证明自己的身份。tian.crt是我方服务器的认证证书；ct2.crt是根证书；test.p12是客户端个人证书。tian.crt是ct2.crt根证书认证的；test.p12也是ct2.crt根证书做认证的。

2.3 把CA方发过来的ct2.crt和tian.crt加入到我方tomcat，让服务器信任证书。

2.4 配置tomcat的server.xml配置文件，配置好https。

2.5 每个访问的sp（浏览器）先把ct2.crt放在浏览器的可信任根目录里，然后安装导入个人证书（test.p12)之后。访问我方地址https://IP:8443即可。

 

3 操作过程：

3.1  生成密钥对以及个人证书

命令：$ keytool -genkey -alias tian -keyalg RSA

3.2导出个人证书

命令：keytool -export -alias tian -file tian.cer

信息：输入keystore密码： 

    保存在文件中的认证 <tian.cer>

3.3 输出认证签名申请文件（.csr）

命令：keytool -certreq -file tian.csr -alias tian

信息：输入keystore密码：

3. 4 先导入根证书

命令：keytool -import -v -trustcacerts -file ct2.crt -alias ct2_root

 

信任这个认证？ [否]：  Y

认证已添加至keystore中

[正在存储 /home/tomcat/.keystore]

 

3. 5 导入CA认证过的证书（tian.crt）

命令：keytool -import -v -file tian.crt -alias tian

信息：

输入keystore密码： 

认证回复已安装在 keystore中

[正在存储 /home/tomcat/.keystore]

 

3.6配置tomcat：

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

           keystoreFile="/home/tomcat/.keystore"

          keystorePass="password"

        truststoreFile="/home/tomcat/.keystore"

       truststorePass="password"

     clientAuth="true" sslProtocol="TLS" />

 

3.7 客服端安装个人证书和根证书

 

3.8 访问https://IP:8443出现提示你提交个人证书提示框。成功双向认证！

 

 

评论

8 楼 chenshuang1227 2011-02-12  

ml365 写道

chenshuang1227 写道

这样的文章没有意义，生产环境根本不会用

这是在生产上用的哟~并且已经在用了。

很抱歉，我孤陋寡闻了。

我没见过生产中用tomcat。不好意思。

7 楼 ml365 2010-12-30  

chenshuang1227 写道

这样的文章没有意义，生产环境根本不会用

这是在生产上用的哟~并且已经在用了。

6 楼 chenshuang1227 2010-12-30  

这样的文章没有意义，生产环境根本不会用

5 楼 ml365 2010-12-28  

shangtang004 写道

ml365 写道

shangtang004 写道

how to send tian.csr to CA? where is CA?
Thanks

just send E-mail to CA,CA will connect you .

oh, thanks, again question, plese tell me the CA email, i want to have a try.

The CA is private.

4 楼 shangtang004 2010-12-28  

ml365 写道

shangtang004 写道

how to send tian.csr to CA? where is CA?
Thanks

just send E-mail to CA,CA will connect you .

oh, thanks, again question, plese tell me the CA email, i want to have a try.

3 楼 ml365 2010-12-26  

shangtang004 写道

how to send tian.csr to CA? where is CA?
Thanks

just send E-mail to CA,CA will connect you .

2 楼 shangtang004 2010-12-25  

how to send tian.csr to CA? where is CA?
Thanks

1 楼 seahb 2010-12-25  

一般来说
既然是双向认证，就需要两对密钥，分别为客户端公私钥（以下简称c公，c私），服务器公私钥（以下简称s公，s私），公钥用于加密需要发送给对方，私钥用于解密自己保存不可以外泄，公钥经过ca认证就是证书文件。
双向认证通讯传输时，服务器发送s公(既经过认证的服务器证书)到客户端，客户端通过ca确定s公的合法性，然后客户端向服务器传信息使用s公加密，服务器用s私解密客户端的信息。服务器向客户端传信息时使用c公加密，客户端用c私解密，因为只有持有c私的人才能解密用c公加密的信息，所以服务器就能确定客户端的合法性。
一般单向认证中，c公是客户端随机生成并用s公加密传送给服务器的，这种方式客户端能通过ca确定服务器的合法性，但是服务器并不能确定客户端的合法性，也就是说其他人可以仿冒客户。在双向认证中c公一般是由服务器管理或者让c公也经ca认证，这样只要客户保存好c私就没人可以仿冒客户。
再看看楼主的内容，楼主只产生了一对密钥，其中Tian.crt是认证后的公钥，test.p12是包含公钥和私钥的，ct2是辅助认证的不用考虑。tian.cer安装在服务器，test.p12安装在客户端，这样看来这对密钥是客户端的密钥对，可以认证客户端合法性。
如果这样的话如果第三方知道Tian.crt也就可以通过中间人攻击仿冒服务器，就是说客户端通过公钥的保密性来认证服务器，所以这并不是有效的双向认证。
我是从密码学的角度来看这个问题，如有不妥请指正。