Tomcat Web服务器双向SSL认证[zhai]

转载 2006年06月15日 16:21:00

http://thinkbase.net/w/main/Wiki?VQWikiI18nDownload

Tomcat5SSL_ServerAndClient 在 Tomcat 5.5 上的配置实例

本文演示了在产生服务器端和客户端证书之后, 如何在 Tomcat 5.5 上进行双向 SSL 的配置.

关于如何产生证书, 请参考 Tomcat5SSL_ServerAndClient.

首先, 到 http://tomcat.apache.org 下载 Tomcat 5.5 的最新版本, 我下载的是 Tomcat 5.5.15 的 tar.gz 方式发布版本, 解压缩到一个目录(本文中是解压缩在 C:/TEMP/ssl 目录下).


说明: 本文所使用的例子可以在这里下载(使用右键菜单"目标另存为...")


下面开始进行配置:

第一步: 将服务器端证书 ssl-test.net-tomcat.keystore 复制到 Tomcat 的 conf 目录中

第二步: 修改 Tomcat 的 conf 目录下 server.xml 文件, 加上 SSL Connector 的定义

  • 注意: 如果需要使用双向 SSL(即客户端也要求使用证书), 那么必须设置 clientAuth="true";
  • 顺便把 HTTP Connector 的 URLEncoding 也设置成 UTF-8, 这个主要是为了解决一些中文问题(与本试验无关, 你也可以不配置):

第三步: 在 Tomcat 的 webapps 目录下建立一个新的 Web 应用 "ssltest", 编辑 ssltest 目录下 WEB-INF/web.xml, 配置 ssltest/ssl/ 目录下的内容为必须通过 SSL 方式才能访问

第四步: 写两个完全一样的测试页面, 分别放在 ssltest/ 和 ssltest/ssl/ 目录下, 按照上一步的配置, ssltest/ssl/ 目录下的测试页面必须通过 SSL 方式才能访问

第五步: 导入客户端证书到浏览器中(双击客户端证书文件 "web-client.p12" 即可导入 IE)

实际运行效果

配置完毕后, 启动 Tomcat, 可以看到 http://localhost:8080/ssltest/test.jsp 能够使用普通的 HTTP 方式访问, 而通过 http://localhost:8080/ssltest/ssl/test.jsp 对 ssltest/ssl 目录下内容的访问则会自动切换到 https://localhost:8443 上去了; 同时可以看到, 使用 HTTPS 方式访问时, 客户端证书的 Subject 可以被 jsp 页面获得:

试着在浏览器里面把导入的证书删除, 你会发现 ssltest/ssl 目录下的内容已经不能访问了:

相关下载

本文所涉及的文件可以在下列地址下载:

关于如何使用Tomcat服务器实现双向SSL认证的文章很早就有了, 比较实用的文章可以看看 IBM developerWorks 中国网站 2002年5月 配置Tomcat 4使用SSL( http://www-900.ibm.com/developerWorks/cn/security/se-tcssl/index.shtml ), 使用 google 还可以搜索到很多类似的文章.

但是现在看来, 这些文章也有不足之处, 一是只说明了在 Tomcat 4 服务器上的配置方法, 与现在普遍使用的 Tomcat 5 系列的配置方法有一定的差异, 其次, 这些文章中的方法大多是作为一种实验性的操作介绍, 如果用于实际Web服务器的产生证书环境, 还是会存在一些问题的:

  • 生成的CA私钥(ca-key.pem)以及自签名根证书(ca-cert.pem)均为没有加密的明文, 由于一旦在服务器发布, 以及客户端证书发布之后, 根证书是不能随便修改的, 那么在保管没有加密的CA私钥以及自签名根证书时就会存在安全性问题(如果别人得到你的CA根证书, 他就可以替你生成客户端证书了);
  • 生成的服务器端证书(server_keystore)不包括信任的CA根证书, 信任的CA根证书被导入到JSSE的默认位置, 如果进行证书操作的计算机和真正运行Web应用的不是同一台计算机, 那么在安装服务器端证书的时候, 还需要在服务器上将CA根证书导入JSSE默认位置;
  • 生成客户端证书的过程比较烦琐, 不方便批量进行客户端证书的生成;
  • 没有统一的配置文件, 生成证书的过程中需要执行相当多的命令, 可重复性差, 出错的可能性比较大.

针对以上的问题, 在参考"配置Tomcat 4使用SSL"这篇文章的基础上, 整理出由4个批处理命令和一个配置文件组成的证书工具包, 这个工具包考虑到在实际Web服务器环境下产生证书的需求, 克服了上面提到的那些问题.

用到的软件包

  • Tomcat 5.0.x
  • JSSE 中的 keytool 工具, 在 JDK 1.4 中已经自带了这个工具, 因此, 只需要安装 JDK1.4.x 即可
  • openssl(openssl 已经被包含在这个工具包里面了, 不需要另外安装, 参见工具包下载)
  • cygwin 的 sed 和 echo 命令(这些命令文件已经包含在工具包里面, 不需要另外安装, 参见工具包下载)

配置及主要命令介绍

  • PATH 环境变量
    • 安装 JDK 之后, 需要将环境变量 JAVA_HOME 设置为 JDK 的安装目录, 同时在 PATH 中加上 %JAVA_HOME%/bin.
  • 工具包结构
    • .bin: 存放openssl 以及 cygwin 的 sed 和 echo 命令的可执行执行文件;
    • .etc: 存放系统的配置文件, 其中最主要的配置文件是 .etc/config.cmd;
    • dist: 这个目录存放产生的各种证书;
    • work: 产生证书时使用的临时文件的存放目录, 为了安全起见, 在每次证书相关操作结束后, 建议清空这个目录;
    • step0,1,2,3 四个批处理命令: 这四个命令分别用于证书各个方面的操作.
  • .etc/config.cmd
    • 这个文件是系统的配置文件, 主要配置 CA根证书/服务器证书/客户端证书 的相关信息, 例如证书的distinguished name信息等等, 在生成证书之前, 需要首先根据实际情况更新这个配置文件;
  • step0-ca-pfx.bat
    • 该命令生成CA私钥以及自签名根证书, 最后得到PKCS12格式的CA根证书(PKCS12格式的CA根证书受密码保护, 因此有比较好的安全性);
    • 生成的PKCS12格式的CA根证书保存在 dist/ca-cert 目录下, 在正式使用的系统中, 这个证书文件(*.pfx)需要妥善保存, 因为以后的服务器证书和客户端证书都需要依赖这个证书, 尤其是客户端证书, 如果丢失了CA根证书, 就无法发布新的客户端证书了, 而重新生成CA根证书, 则需要重新生成服务器证书和客户端证书, 在客户端用户较多的情况下, 重新发布所有的客户端证书是有相当大的工作量;
    • 在执行这个命令的过程中, 会提示输入证书保护密码, 请注意不要遗忘或者泄漏这个密码, 否则根证书的安全会受到威胁.
  • step1-ca-prepare.bat
    • 该命令用于从PKCS12格式的CA根证书中导出CA私钥和未加密CA根证书;
    • 由于安全原因, CA根证书平时以密码保护的PKCS12格式文件(*.pfx)存放, 那么如果需要使用CA根证书来发布服务器证书或者客户端证书时, 首先需要执行这个命令得到CA根证书的未加密形式;
    • 在执行这个命令的过程中, 会出现两次提示输入根证书的保护密码, 如果密码不正确, 这个命令将不能执行成功, 也就无法进行下面两步的发布证书的操作了.
  • step2-server.bat
    • 该命令用于生成服务器端证书(keystore文件);
    • 注意: CA根证书同时也会被导入到证书的keystore文件中, 这样在将这个证书应用到Tomcat Web服务器上的时候就不需要将CA根证书导入到JSSE的默认位置了;
    • 这个命令必须在执行 step1-ca-prepare.bat 之后才能正常运行.
  • step3-client.bat
    • 这个命令用于发布客户端证书;
    • 为了便于批量生成客户端证书, 这个命令支持命令行参数, 第1到3个参数依次为:
      • 客户端证书的名称(Common Name)
      • 客户端证书所属的组织(Organizational Unit Name)
      • 产生的PKS12格式客户端证书的导入密码, 这个密码可以保护证书只能被知道密码的用户导入到浏览器
    • 这个命令必须在执行 step1-ca-prepare.bat 之后才能正常运行.

说明:当Web服务器开始正式运行以后, step0-ca-pfx.bat 命令是不能再次执行的, 如果需要重新发布服务器证书, 或者发布新的客户端证书, 在执行 step2-server.bat 和 step3-client.bat 命令前, 可以通过 step1-ca-prepare.bat 重新从保存的PKCS12格式CA根证书中导出CA私钥和未加密CA根证书.

Tomcat 5 服务器配置

参考配置方法如下:

  • 将 "step2-server.bat" 命令产生的 dist/server 目录下的 keystore 文件(如果使用本工具包的默认配置, 这个文件叫做"ssl-test.net-tomcat.keystore")复制到 Tomcat 安装目录的 conf 目录下;
  • 修改 Tomcat 安装目录的 conf 目录下的 "server.xml" 文件, 修改 <Service name="Catalina"> 包含的 "Connector" 元素, 示例如下(仅供参考):
  <Service name="Catalina">
    <Connector URIEncoding="UTF-8"
               acceptCount="100" connectionTimeout="20000" disableUploadTimeout="true"
               port="8080" redirectPort="8443"
               maxSpareThreads="75" maxThreads="150" minSpareThreads="25">
    </Connector>
    <Connector URIEncoding="UTF-8" port="8443"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" debug="0" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS"
               keystoreFile="${catalina.home}/conf/ssl-test.net-tomcat.keystore"
               keystorePass="openssl"
               truststoreFile="${catalina.home}/conf/ssl-test.net-tomcat.keystore"
               truststorePass="openssl"/>
    ......

启用双向 SSL 时 Web 应用程序的配置

  • 要启用双向 SSL 认证, 在 Web 应用程序的 web.xml 中需要如下增加一些配置: auth-method=CLIENT-CERT 说明是"以客户端数字证书来确认用户的身份", transport-guarantee=CONFIDENTIAL 表示应用程序要求数据必须在一种"防止其他实体看到传输的内容的方式中传送".
    <login-config>
    <!-- Authorization setting for SSL -->
        <auth-method>CLIENT-CERT</auth-method>
        <realm-name>Client Cert Users-only Area</realm-name>
    </login-config>
    <security-constraint>
    <!-- Authorization setting for SSL -->
        <web-resource-collection >
            <web-resource-name >SSL</web-resource-name>
            <url-pattern>/*</url-pattern>
        </web-resource-collection>
        <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>
  • 经过以上的配置之后, 那么即使用户是通过 http 访问 Web 应用程序的, 浏览器也会自动切换到 https 方式并弹出选择客户端证书的对话框.

如何使用客户端证书进行用户验证

  • 查看一些资料上提到客户端证书内容中 subject 的 CN 部分可以和 Tomcat 的 Realm 中的用户集成, 不过一直没有尝试成功;
  • 在 web 应用程序中, 可以通过 java 代码从 request 对象中获得, 根据 Servlet Specifications, 使用request.getAttribute("javax.servlet.request.X509Certificate") 就可以得到 https 请求的客户端证书链信息, 其中第一个元素就是客户端证书, 相应的示例代码如下:
    String certSubject = null;
    X509Certificate[] certChain=
        (X509Certificate[])request.getAttribute("javax.servlet.request.X509Certificate");
    int len=certChain.length;
    if (len>0){
        X509Certificate cert = (X509Certificate)certChain[0];
        Principal pSubject = cert.getSubjectDN();
        certSubject = pSubject.getName();
    }


  • 客户端证书的 subject 是类似 CN=client, OU=web, O=ssl-test.net, L=your_locality, ST=your_province, C=CN 这样的字符串, 其中 CN=... 就是客户端证书的用户名称, Web 应用程序可以通过这个字段来验证 https 请求对应的用户身份了.


工具包下载

运行界面(使用 Mozilla Firefox 1.0)

  • 没有安装证书时访问 Web 应用程序被服务器拒绝
  • 访问 Web 应用程序时提示选择证书的对话框

比较复杂的问题, 请到 Tomcat5SSL_ServerAndClient 常见问题 页面讨论.

例子请看

相关文章推荐

SSL--用Tomcat服务器配置https双向认证过程实战

转载自:http://blog.csdn.net/xxd851116/article/details/18701731 什么是https? 百度百科足够解释它:http://baike.ba...

Tomcat服务器与andriod平台SSL双向认证

近期,在做一个tomcat与andriod平台的SSL双向认证工程,经过2天努力,总算大功告成啊。 SSL协议是双向认证,因此首先要生存服务器与客户端的密钥对。(ps:由于andriod只支持BKS证...

使用CA签发的服务器证书搭建Tomcat双向SSL认证服务

第一部分,先说证书的申请。 这步是要到正规的CA公司申请正式的设备证书必须走的步骤。 1、先生成证书的密钥对 打开命令行,切换到某个自己新建的目录下,执行如下命令 keytool -genke...

Tomcat配置SSL双向认证

  • 2017-03-23 11:20
  • 302KB
  • 下载

tomcat 双向ssl认证

本文根据http://joesmart.iteye.com/blog/1532929修改  Tomcat 配置 SSL   说明: 配置的是Tomcat 7...

Tomcat6 ssl 双向认证

转载地址:点击打开链接 使用OpenSSL为TongWeb制作证书:  制作证书 下面详细介绍了制作证书的基本步骤。部分命令并没有提供全部参数,运行时仍需交互输入部分信息,特别是CN、OU、O、...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)