其他分享
首页 > 其他分享> > Keytool配置 Tomcat的HTTPS双向认证

Keytool配置 Tomcat的HTTPS双向认证

作者:互联网

Keytool配置 Tomcat的HTTPS双向认证



证书生成

keytool 简介

Keytool是一个Java数据证书的管理工具, Keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中。
在keystore里,包含两种数据:

我们常说的证书就是就是上面的公钥,公钥是公开给其它人使用的

Tips:


keytool 命令详解

Tips:


创建证书

创建秘钥库(keystore),秘钥库是存储一个或多个密钥条目的文件,每个密钥条目应该以一个别名标识,它包含密钥和证书相关信息。

Tips:

创建证书栗子

  1. 生成服务器证书

    keytool -genkey -alias server -keyalg RSA -keypass 123456 -keystore ~/ssl/tomcat.jks [-storetype JKS] -storepass 123456 -validity 3650 -dname "CN=localhost" -ext SAN=ip:127.0.0.1

  2. 生成客户端证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12(客户端的CN可以是任意值)

    keytool -genkey -alias client -keyalg RSA -keypass 123456 -keystore ~/ssl/client.p12 -storetype PKCS12 -storepass 123456 -validity 3650 -dname "CN=client"


导出证书信息

此证书文件不包含私钥;分为自签名证书和认证证书,下面分别介绍了两中证书的生成方式

导出自签名证书

自签名证书没有经过证书认证机构进行认证,但并不影响使用,我们可以使用相应的命令对证书进行导出;

导出证书栗子
  1. 导出服务器证书

    此处为服务器的自签名证书导出, 如果需要使用认证证书,则生成证书签名请求

    keytool -export -alias server -keystore ~/ssl/tomcat.jks -storepass 123456 -file ~/ssl/server.cer

  2. 导出客户端证书

    双向认证: 服务端信任客户端,由于不能直接将PKCS12格式的证书库导入,所以必须先把客户端证书导出为一个单独的CER文件

    keytool -export -alias client -keystore ~/ssl/client.p12 -storepass 123456 -file ~/ssl/client.cer -rfc

获取认证证书(生成证书签名请求)

如果想得到证书认证机构的认证,则不使用上述的自签名证书,需要使用步骤导出数字证书并签发申请(Cerificate Signing Request),经证书认证机构认证并颁发后,再将认证后的证书导入本地密钥库与信任库。

生成证书签名请求栗子
  1. 生成证书签名请求(CSR)

    keytool -certreq -alias server -keystore ~/ssl/tomcat.jks -storepass 123456 -file ~/ssl/certreq.csr

  2. 查看生成的CSR证书请求

    keytool -printcertreq -file certreq.csr


导入证书库

双向认证: 将各自的公钥证书分别导入对方的信任库,使客户端和服务端相互信任。

导入证书栗子

  1. 安装服务器证书(将服务器公钥证书导入客户端)

    双向认证: 客户端信任服务端: 在客户机器上双击证书文件完成导入操作(window中导入)

    • 将服务器公钥证书 server.cer 发往客户端机器 >> 双击该证书进入“证书信息”页 >> 点击【安装证书】进入“证书导入向导”首页 >> 点击【下一步】>> 选中【将所有的证书都放入下列存储】,然后单击【浏览】 >> 选择【受信任的根证书颁发机构】b并点击【确定】 >> 点击【下一步】 >> 点击【完成】。然后弹出提示【导入完成】。
    • 将客户端证书 client.p12 发往客户端机器 >> 双击该证书进入“证书导入向导”首页 >> 点击【下一步】>> 点击【下一步】>> 输入证书密码(keystore密码)并点击【下一步】 >> 点击【下一步】 >> 点击【完成】。然后弹出提示【导入完成】。
  2. 证书导入信任库(将客户端公钥证书导入信任库)

    双向认证: 服务端信任客户端:

    keytool -import -alias clientCert -keystore ~/ssl/truststore.jks -storepass 123456 -file ~/ssl/client.cer

    此步骤会生成信任证书 truststore.jks文件, 文件存放需要信任的公钥证书,如客户端证书(也可以将 keystore值改为服务器密钥库,即tomcat.jks。此时的tomcat.jks 就同时是服务的密钥库和信任库)


查看证书

查看栗子证书

  1. 查看证书信息

    keytool -printcert -file ~/ssl/client.cer [-v|-rfc]

  2. 查看密钥库

    keytool -list -keystore ~/ssl/tomcat.jks -storepass 123456 -v

  3. 查看base64的内容(即PEM编码)

    keytool -list -keystore ~/ssl/tomcat.jks -storepass 123456 -rfc


其他keytool命令

# 删除keystore里面指定证书条目
keytool -delete -alias <alias> -keystore <keystore_file> -storepass <keystore_passwd>

# 修改条目别名
keytool -changealias -keystore <keystore_file> -alias <old_alias> -destalias <new_alias>

# 修改条目密码
keytool -keypasswd -alias <alias> -keypass <old_keypasswd> -new <new_keypasswd> -keystore <keystore_file> -storepass <keystore_passwd>

# 修改keysore密码
keytool -storepasswd -new <new_storepasswd> -keystore <keystore_file> -storepass <old_storepasswd>


# 列出信任的CA证书(查看 JVM的信任库中的证书,storepass 默认为changeit)
## 该证书文件存在于JAVA_HOME\jre\lib\security目录下,是Java系统的CA证书仓库,可以用 'alias' 来查看证书是否真的导入到JVM中
keytool -list -v [-alias clientCer] -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit

# 导入新的CA到信任证书,导入到 JRE的信任证书库
## 常出现的异常:“未找到可信任的证书”  -- 主要原因为在客户端未将服务器下发的证书导入到JVM中。
keytool -import -trustcacerts -alias clientCer -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit -file ~/ssl/client.cer

Tomcat服务认证配置

打开Tomcat_HOME/conf/server.xml,找到如下原注释内容,并修改如下:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="true" sslProtocol="TLS"
    keystoreFile="~/ssl/tomcat.jks" keystorePass="123456"
    truststoreFile="~/ssl/truststore.jks" truststorePass="123456"
/>

Tips:

SSL单向证书认证配置

  1. 创建服务器证书
  2. 导出服务器公钥证书
  3. 将服务器公钥证书导入客户端(客户端信任服务器)
  4. 配置 Tomcat
    打开Tomcat_HOME/conf/server.xml,找到如下原注释内容,并修改如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="false" sslProtocol="TLS"
    keystoreFile="~/ssl/tomcat.jks" keystorePass="123456"()
/>

SSL双向证书认证配置

  1. 创建服务器证书,创建客户端证书

  2. 导出服务器公钥证书,导出客户端公钥证书

  3. 将服务器公钥证书导入客户端(客户端信任服务器)

  4. 将客户端公钥证书导入信任库(服务器信任客户端)

  5. 配置 Tomcat,并开启双向认证():
    打开Tomcat_HOME/conf/server.xml,找到如下原注释内容,并修改如下:

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
        maxThreads="150" scheme="https" secure="true"
        clientAuth="true" sslProtocol="TLS"
        keystoreFile="~/ssl/tomcat.jks" keystorePass="123456"
        truststoreFile="~/ssl/truststore.jks" truststorePass="123456"
    />
    

配置Tomcat服务 HTTP自动跳转到 HTTPS(按需选配)

打开Tomcat_HOME/conf/web.xml,在 与 加入如下代码:

<login-config> 
    <!-- Authorization setting for SSL --> 
    <auth-method>CLIENT-CERT</auth-method> 
    <realm-name>Client Cert Users-only Area</realm-name> 
</login-config> 
<security-constraint> 
    <!-- Authorization setting for SSL --> 
    <web-resource-collection > 
        <web-resource-name >SSL</web-resource-name> 
        <url-pattern>/*</url-pattern> 
    </web-resource-collection> 
    <user-data-constraint> 
        <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
    </user-data-constraint> 
</security-constraint> 

测试

  1. 启动 Tomcat项目
  2. 访问 项目地址,本地配置如: https://localhost:8443/
  3. 如果遇到“不安全”的提示,可能是客户端未安装服务器证书

常见问题

浏览器访问时提示:

  1. 此服务器无法证实它是“192.168..” - 您计算机的操作系统不信任其安全证书 。。。
    --客户端未导入服务器证书

  2. 此服务器无法证实它就是“192.168..” - 它的安全证书没有指定主题备用名称 。。。
    --生成服务器证书库未使用 -ext参数

  3. “192.168..”不接受您的登录证书,或者您可能没有提供登录证书。。。
    --Tomcat配置未指定信任证书库(truststore)



Reference

标签:keystore,Keytool,Tomcat,证书,密钥,HTTPS,服务器,keytool,客户端
来源: https://www.cnblogs.com/librarookie/p/16364384.html