如何用Tomcat和Openssl构建HTTPS双向认证环境（HTTPS客户端认证）

 

本文将介绍如何利用Tomcat的HTTPS功能，和一个自己创建的CA，来构建WEB服务器证书和个人数字证书，最终建成一个HTTPS双向认证环境（可以用于测试目的）。本文构建HTTPS双向认证的业务流程大致如下：
  1. 创建WEB服务器公钥密钥，并生成服务器证书请求。
  2. 利用自建的CA，根据服务器证书请求为服务器签发服务器证书。然后把服务器证书导回WEB服务器中。
  3. 利用openssl生成客户端（IE）使用的个人数字证书，也由同样的CA签发个人证书。
  4. 将个人数字证书（PKCS12格式，包含密钥）导入到浏览器（IE/Firefox）后，就可以进行HTTPS测试了。
 
一. 选择HTTPS WEB服务器
这里我们选择了Tomcat。当然还有其它方法，如Apache+Tomcat，让Apache配置成HTTPS模式，而Tomcat只做HTTP业务处理，这样有利于提高性能，但本文只建造一个简单的HTTPS测试环境，只用Tomcat自带的HTTPS功能。（当然，我以后会考虑研究一下Apache+Tomcat模式，到时再和大家一起分享经验）
 
二. 创建一个自己的CA
创建一个自己的CA来模拟HTTPS构建环境（利用CA签发证书），不仅有利于了解PKI概念，而且有利于了解真正应用的业务流程。关于如何创建一个简单的测试用CA我已在本博客发文，题目为《利用openssl创建一个简单的CA》，请参考http://blog.csdn.net/jasonhwang/archive/2008/04/26/2329589.aspx 这里就不再重述了。
 
另外，如果你真的觉得建一个CA比较麻烦，且只使用几个个人数字证书的话，当然也可以不建CA，下面章节也会提到不用CA如何构建双向认证。
 
三. 创建服务器公钥密钥及颁发服务器证书
实际上有两种方法生成服务器证书，一种是用JDK带的keytool，另一种是用openssl命令生成pkcs12格式的证书。个人更喜欢第二种，因为用openssl生成的pkcs12格式服务器证书可以导出明文的服务器密钥，便于用wireshark（ethereal的新名字）查看HTTPS里被加密过的HTTP消息。keytool生成的keystore也有办法导出密钥，但还要编程去弄，太麻烦了。
 
方法一，用keytool创建服务器公钥密钥并用CA签发服务器证书：
keytool是JDK自带的工具程序，确保keytool已在PATH路径里（或在以下命令里指明keytool的全路径，如$JAVA_HOME/bin/keytool）。
 
1. 用keytool生成服务器公钥密钥：
在TOMCAT的conf目录里执行以下命令（假设conf目录路径为$TOMCAT_HOME/conf/）：
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -genkey -keyalg RSA -dname "CN=servername, OU=servers, O=ABCom"
 
注：其中DN（证书的唯一取别名）里的CN最好是服务器的域名地址或IP地址（因为浏览器在发现服务器证书的CN与访问服务器的域名或IP不符时，会报一个警告，不过这个问题不大）。
 
2. 生成服务器证书请求，并让测试CA签发服务器证书
实际上本步骤也可以省略，唯一不好的结果是用户在开始访问服务器HTTPS服务时，会跳一个窗口警告用户，用户可以在该窗口里看到服务器证书是一个自签名的证书（用服务器私钥自己给自己签发的证书，keytool生成公钥密钥时自动生成这种证书）。但只要用户选择“信任该证书”，也照样可以与服务器建立HTTPS连接。
但正规的HTTPS服务器，还是应该申请一个服务器证书比较好。
 
2.1 生成服务器证书请求：
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -certreq -file serverreq.pem
 
以下命令可以查看一下证书请求的内容：
openssl req -in serverreq.pem -text -noout
 
2.2 用测试CA签署服务器证书：
把serverreq.pem拷贝到CA的某目录下，我们就可以按照《利用openssl创建一个简单的CA》里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了：
openssl ca -in serverreq.pem -out servercert.pem -config "$HOME/testca/conf/testca.conf"
执行过程中需要输入CA私钥的保护密码。
 
2.3 把服务器证书导回到服务器的keystore里：
前面命令里生成的servercert.pem即为服务器证书。从CA处把该文件及CA的证书（$HOME/testca/cacert.pem）拿来，一起放到Tomcat的conf目录里。
另外导入前，还有一个工作需要做，需要手工编辑servercert.pem证书文件，把‘-----BEGIN CERTIFICATE-----’该行前的所有内容都删掉，因为keytool不认得这些说明性的内容。
导入前也可以执行命令查看一下证书内容：
keytool -printcert -file servercert.pem
 
导入服务器证书：
先导入CA的证书：
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem
 
再导入服务器证书：
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -import -file servercert.pem
 
导入后可以用以下命令查看一下keystore里的内容：
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -list -v
 
3. 创建服务器信任的客户端CA证书库：
用keytool创建一个证书库，里面存放服务器信任的CA证书，也就是只有这些CA签发的客户端个人证书才被服务器信任，才能通过HTTPS访问服务器。这就是“HTTPS服务器验证客户端证书”的关键配置。注：如果只是测试目的，为了简单期间，也可以直接把客户端未经CA签发的自签名证书直接导入信任证书库里。
 
这里，我们假设客户端个人证书（后续章节介绍如何生成客户端个人证书）也是由测试CA签发的，所以我们要把cacert.pem证书导入信任证书库：
keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem
 
可以用以下命令查看信任证书库内容：
keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v
 
4. 配置Tomcat支持HTTPS双向认证（服务器将认证客户端证书）：
修改tomcat的conf目录里的server.xml文件（$TOMCAT_HOME/conf/server.xml），找到类似下面内容的配置处，添加配置如下：
    <Connector port="8443"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" debug="0" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS"
               keystoreFile="conf/tomcat.jks" keystorePass="222222" keystoreType="JKS"
      truststoreFile="conf/truststore.jks" truststorePass="222222" truststoreType="JKS" />
 
（题外话：其实HTTPS单向和双向认证配置的唯一区别是，把clientAuth改为false，去掉truststore的相关配置，就是单向HTTPS认证了，单向HTTPS用的可能更多，它主要在浏览器与f服务器交互的HTTP需要加密，而不需要验证客户端证书时使用。）
 
经以上配置后，重启tomcat，服务器就支持HTTPS双向认证了。
 
 
方法二，用openssl创建服务器公钥密钥并用CA签发服务器证书：
前面已经提到过，这种方式的好处是有利于抓包查看服务器与浏览器HTTPS交互里的HTTP信息。
其实，这种方法与《利用openssl创建一个简单的CA》里提到的制作个人数字证书方法很类似（请参考《利用openssl创建一个简单的CA》的“三. 自己生成公钥密钥，并用测试CA签发数字证书”章节）。
 
1. 制作服务器证书（最终形成一个pkcs12文件，包含服务器密钥、证书和CA的证书）
假设我们把服务器相关的东西生成到CA的$HOME/testca/test/server目录里：
mkdir -p "$HOME/testca/test/server"
cd "$HOME/testca/test/server"
 
2.1 创建服务器公钥密钥，并同时生成一个服务器证书请求：
openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem /
              -outform PEM  -subj "/O=ABCom/OU=servers/CN=servername"
执行命令过程中输入密钥保护密码222222。
 
执行后可以用以下命令查看请求内容：
openssl req -in serverreq.pem -text -noout
 
2.2 用测试CA签署服务器证书：
把serverreq.pem拷贝到CA的某目录下，我们就可以按照《利用openssl创建一个简单的CA》里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了：
openssl ca -in serverreq.pem -out servercert.pem -config "$HOME/testca/conf/testca.conf"
执行过程中需要输入CA私钥的保护密码。
 
执行完后可以用以下命令查看证书内容：
openssl x509 -in servercert.pem -text -noout
 
2.3 制作服务器pkcs12文件（包含服务器密钥、证书和CA的证书）
openssl pkcs12 -export -in servercert.pem -inkey serverkey.pem /
                        -out tomcat.p12 -name tomcat -CAfile "$HOME/testca/cacert.pem" /
                        -caname root -chain
执行过程中要输入服务器密钥的保护密码（serverkey.pem）和新生成的tomcat.p12的保护密码，我们都输入222222。
创建完成后，把pkcs12文件拷贝到tomcat的conf目录下。
 
3. 创建服务器信任的客户端CA证书库：
同方法一的对应章节，这里，我们假设客户端个人证书（后续章节介绍如何生成客户端个人证书）也是由测试CA签发的，所以我们要把cacert.pem证书导入信任证书库：
keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem
 
可以用以下命令查看信任证书库内容：
keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v
 
4. 配置Tomcat支持HTTPS双向认证（服务器将认证客户端证书）：
修改tomcat的conf目录里的server.xml文件（$TOMCAT_HOME/conf/server.xml），找到类似下面内容的配置处，添加配置如下：
    <Connector port="8443"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" debug="0" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS"
               keystoreFile="conf/tomcat.p12" keystorePass="222222" keystoreType="PKCS12" 
               truststoreFile="conf/truststore.jks" truststorePass="222222" truststoreType="JKS" />
 
注意：其中keystore的keystoreType与方法一的配置不同。经以上配置后，重启tomcat，服务器就支持HTTPS双向认证了。

四. 创建用于客户端（浏览器）测试的个人数字证书（pkcs12格式）
完全按照《利用openssl创建一个简单的CA》里提到的制作个人数字证书方法来进行，请参考《利用openssl创建一个简单的CA》的“三. 自己生成公钥密钥，并用测试CA签发数字证书”章节。
 
1. 创建个人密钥和证书请求（证书请求里包含了公钥）
创建$HOME/testuser1目录并执行命令：（证书等都放到这个目录）
mkdir $HOME/testuser1
cd $HOME/testuser1
openssl req -newkey rsa:1024 -keyout testkey.pem -keyform PEM -out testreq.pem -outform PEM -subj "/O=TestCom/OU=TestOU/CN=testuser1"
执行过程中需要输入私钥的保护密码，假设我们输入密码： 222222
 
执行完后，testkey.pem即为用户的密钥，而testreq.pem即为证书请求。
可以用openssl req -in testreq.pem -text -noout查看证书请求的内容。
 
2. 用CA为testuser1签发个人证书
同样还在$HOME/testuser1目录下执行命令：
openssl ca -in testreq.pem -out testcert.pem -config "$HOME/testca/conf/testca.conf"
执行过程中需要输入CA的密钥保护密码（刚才设置的888888），并且最后询问你是否要给该用户签发证书时要选y。
执行完后，testcert.pem即为证书，
可以用命令openssl x509 -in testcert.pem -text -noout查看证书内容。
 
3. 制作PKCS12文件（个人数字证书）
我们制作的这个PKCS#12文件将包含密钥、证书和颁发该证书的CA证书。
把前几步生成的密钥和证书制作成一个pkcs12文件的方法执行命令：
openssl pkcs12 -export -in testcert.pem -inkey testkey.pem -out testuser1.p12 -name testuser1 -chain -CAfile "$HOME/testca/cacert.pem"
执行过程中需要输入保护密钥的密码（222222），以及新的保护pkcs12文件的密码（222222）。
 
执行完后，若要查看testuser1.p12的内容可以用命令openssl pkcs12 -in testuser1.p12
该testuser1.p12即为pkcs12文件。你可以直接拷贝到windows下，作为个人数字证书，双击导入IE后就可以使用了。
 
五. 用一个简单webapp来测试HTTPS
服务器证书和个人证书都准备好了，我们可以写一个简单的webapp，里面只有一个jsp，用于查看https客户端验证是否起效了。
 
1. 创建webapp用于测试https：
在$TOMCAT_HOME/webapps/里创建一个目录testhttps，并在testhttps目录里创建WEB-INF目录，并在该目录里创建web.xml文件如下：
文件：$TOMCAT_HOME/webapps/WEB-INF/web.xml
<?xml version="1.0" encoding="ISO-8859-1"?>
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
    version="2.4">
  <display-name>Test HTTPS App</display-name>
</web-app>
 
2. 创建一个显示客户端证书信息的JSP：
在testhttps目录创建文件seecert.jsp
文件：$TOMCAT_HOME/webapps/WEB-INF/seecert.jsp
<%@ page  import="java.security.cert.X509Certificate" contentType="text/html; charset=GB2312" %>
<pre>
<%
    java.security.cert.X509Certificate[] certs=null;
    try{
            certs=(X509Certificate[])request.getAttribute("javax.servlet.request.X509Certificate");

                if (certs == null) {
                        out.println("No certificates");
                } else if (certs.length == 0) {
                        out.println("Certificates length is 0");
                } else {
                        java.security.cert.X509Certificate cert = certs[0];
                        String dn = cert.getSubjectX500Principal().toString();
                        out.println("SubjectDN: " + dn);
                        out.println();
                        out.println("------------------certification detail--------------------");
                        out.println(cert);
                        out.println("----------------------------------------------------------");
                }
    } catch(Exception e){
                out.println("Exception=" + e.getMessage());
    }
%>
</pre>
 
3. 测试HTTPS并查看客户端证书信息：
访问URL：https://<tomcat>:8443/testhttps/seecert.jsp
在用浏览器访问该URL时，浏览器可能会跳出窗口让你选择用哪个客户端个人证书。
页面打开后，你将看到客户端证书的信息。
 
六. 使用wireshark（ethereal的新名称）查看HTTPS里加密的HTTP消息：
用wireshark抓包后，你可以看到HTTPS服务器与浏览器之间的HTTPS协商过程，但是HTTPS成功建立后，后续消息是加密的，如何查看加密的HTTP消息呢？你需要借助服务器的密钥（私钥）明文。
假设需要从上面提到的openssl生成的服务器证书tomcat.p12文件里导出密钥明文，生成密钥明文文件方法：
openssl pkcs12 -in tomcat.p12 -out clearserverkey.pem -nodes
然后在wireshark的协议定义里找到SSL，并在“RSA keys list”里配置如下内容：
    <server_ip>,8443,http,<path_to_clearserverkey.pem>
 
其中：
   <server_ip>——为HTTPS服务器的IP；
   8443——为HTTPS（SSL）的端口；
   http——表示SSL里加密的是HTTP协议；
   <path_to_clearserverkey.pem>——指上一步生成的clearserverkey.pem文件的本地路径。
这样，你就能看到wireshark里的SSL协议被解密，且里面的HTTP消息也看到了。

七. 客户端证书在Tomcat里的CRL检查

请参考《Tomcat里配置CRL》（http://blog.csdn.net/jasonhwang/archive/2008/05/08/2413310.aspx）。