TLS安全传输层协议（加密）配置文档



TLS安全传输层协议（加密）配置文档

Tomcat服务器配置https双向认证（使用keytool生成证书）

一，HTTPS原理

1，HTTP、HTTPS、SSL、TLS介绍与相互关系

 

（1）HTTP：平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的（明文），因此使用HTTP协议传输隐私信息非常不安全。

 

（2）HTTPS：为了保证隐私数据能加密传输，采用SSL/TLS协议用于对HTTP协议传输的数据进行加密，也就是HTTPS。

 

（3）SSL：SSL（Secure Sockets Layer）协议是由网景公司设计，后被IETF定义在RFC 6101中。目前的版本是3.0。

 

（4）TLS：TLS可以说是SSL的改进版。是由IETF对SSL 3.0进行了升级而出现的，定义在RFC 2246。实际上我们现在的HTTPS都是用的TLS协议。

 

2，TLS/SSL特点

 

（1）HTTPS在传输数据之前需要客户端（浏览器）与服务端（网站）之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。（专用名词：握手协议）

 

（2）TLS/SSL中使用了非对称加密，对称加密以及HASH算法。

 

其中非对称加密算法用于在握手过程中加密生成的密码，对称加密算法用于对真正传输的数据进行加密，而HASH算法用于验证数据的完整性。

 

（3）TLS握手过程中如果有任何错误，都会使加密连接断开，从而阻止了隐私信息的传输。

 

二，双向认证实现步骤1 -证书的生成（重点：包括客户端证书和服务端证书）

 

下面演示如何使用 Tomcat服务器，通过HTTPS进行双向认证。证书的话这里使用 keytool 生成自签名证书。

 

（注意：如果真正的商用系统建议使用向CA付费购买的证书。因为如果使用自签名证书的话，客户端对服务器的验证其实是抛给用户来判断（用户自己决定信任还是不信任））

1，生成服务器证书

（1）打开CMD命令行工具，cd到C盘根目录或者是jdk的bin目录下，如下图所示：

1

cd "E:\apache-tomcat-7.0.64-windows-x64\apache-tomcat-7.0.64\bin"

 

（2）使用keytool为Tomcat生成证书

1（首先在D盘下面创建keys文件夹）

keytool -genkey -v -alias tomcat -keyalgRSA -keystore D:/keys/tomcat.keystore -validity 36500

（参数说明：“D:/keys”含义是将证书文件的保存路径，证书文件名称是tomcat.keystore；

“-validity 36500”含义是证书有效期，36500表示100年，默认值是90天；“tomcat”为自定义证书名称）

 

输入密钥库口令：keystore密码（假设使用123456）

注意：您的名字与姓氏是什么：必须是TOMCAT部署主机的域名或者IP[如：localhost.com或者 10.1.25.119]（就是你将来要在浏览器中输入的访问地址），否则浏览器会弹出警告窗口，提示用户证书与所在域不匹配。在本地做开发测试时，应填入“localhost”。

 

输入 <tomcat>的密钥口令：直接回车

 

2，生成客户端证书

 

为浏览器生成证书，以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox，证书格式应该是PKCS12，因此，使用如下命令生成：

1

keytool -genkey -v -alias mykey -keyalg RSA-storetype PKCS12 -keystore D:/keys/mykey.p12

 

假设客户端证书密码“123456”，其他随便填。

 

3，让服务器信任客户端证书

 

服务器要信任客户端证书，必须把客户端证书添加为服务器的信任认证。

 

（1）由于不能直接将PKCS12格式的证书库导入，必须先把客户端证书导出为一个单独的CER文件，使用如下命令：

    （下面要用到客户端证书密码“123456”）

1

keytool -export -alias mykey -keystoreD:/keys/mykey.p12 -storetype PKCS12 -storepass 123456 -rfc -fileD:/keys/mykey.cer

（2）将该文件导入到服务器的证书库，添加为一个信任证书使用命令如下：

1

keytool -import -v -file D:/keys/mykey.cer -keystore  D:/keys/tomcat.keystore

（3）通过 list 命令查看服务器的证书库，可以看到两个证书，一个是服务器证书，一个是受信任的客户端证书：

1

keytool -list -keystoreD:/keys/tomcat.keystore

4，让客户端信任服务器证书

 

由于是双向SSL认证，客户端也要验证服务器证书。把服务器证书导出为一个单独的CER文件提供给客户端，使用如下命令：

1

keytool -keystore D:/keys/tomcat.keystore-export -alias tomcat -file D:/keys/tomcat.cer

5，经过上面操作，我们生成如下证书：

三，双向认证实现步骤2 -证书的使用

1，服务器tomcat的配置

 

打开Tomcat根目录下的/conf/server.xml，找到Connector port="8443"配置段，修改为如下：

<Connector port="8443"protocol="org.apache.coyote.http11.Http11NioProtocol"

 

   SSLEnabled="true" maxThreads="150"scheme="https"

 

   secure="true" clientAuth="true"sslProtocol="TLS"

 

   keystoreFile="G:\\tomcat.keystore"keystorePass="hangge"

 

   truststoreFile="G:\\tomcat.keystore"truststorePass="hangge" />

 

 

属性说明：

 

clientAuth:设置是否双向验证，默认为false，设置为true代表双向验证

 

keystoreFile:服务器证书文件路径

 

keystorePass:服务器证书密码

 

truststoreFile:用来验证客户端证书的根证书，此例中就是服务器证书

 

truststorePass:根证书密码

测试服务端：

浏览器输入https://localhost:8443/　（下图说明tomcat的https开启成功。报无效证书没关系，因为我们客户端还没导入证书）

 

2，客户端证书导入

 （1）双击“mykey.p12”导入客户端证书

再次使用浏览器访问服务端，浏览器会让我们选择使用的证书。

但由于是自签名的证书，所以浏览器会警告我们不安全，选择继续好了：

可以看到能成功访问了（地址栏“证书错误”说明目前还没双向验证，不过数据已经是使用HTTPS传输了）：

（2）导入服务器公钥证书（tomcat.cer）

 

由于是自签名的证书，为避免每次都提示不安全。这里双击tomcat.cer安装服务器证书。

注意：将证书填入到“受信任的根证书颁发机构”

再次重新访问服务器，会发现没有不安全的提示了，同时浏览器地址栏上也有个“锁”图标，表示本次会话已经通过HTTPS双向验证。

常见问题：

TOMCAT配置HTTPS双向认证，为什么始终无法访问

我按网上N多文章上的方法配置了HTTPS双向认证，颁发的证书也都正常导入了，但却仍然无法访问。但是配置的单向认证却是正常的，这是为什么呢？

服务端证书要导入两次 一个放在“个人” ，一个放在“受信任的根证书颁发机构”

 

小贴士：

强制 https 访问

在 tomcat /conf/web.xml 中的 </welcome- file-list> 后面加上这

1.   <login-config>    

2.   <!-- Authorization setting for SSL -->    

3.   <auth-method>CLIENT-CERT</auth-method>    

4.   <realm-name>Client Cert Users-only Area</realm-name>    

5.   </login-config>    

6.   <security-constraint>    

7.   <!-- Authorization setting for SSL -->    

8.   <web-resource-collection >    

9.   <web-resource-name >SSL</web-resource-name>    

10.<url-pattern>/*</url-pattern>    

11.</web-resource-collection>    

12.<user-data-constraint>    

13.<transport-guarantee>CONFIDENTIAL</transport-guarantee>    

14.</user-data-constraint>    

15.</security-constraint> 

 

完成以上步骤后，在浏览器中输入http的访问地址也会自动转换为https了。

 

附录1:

keytool常用命令 

-alias       产生别名 

-keystore    指定密钥库的名称(就像数据库一样的证书库，可以有很多个证书，cacerts这个文件是jre自带的， 

             你也可以使用其它文件名字，如果没有这个文件名字，它会创建这样一个) 

-storepass   指定密钥库的密码 

-keypass     指定别名条目的密码 

-list        显示密钥库中的证书信息 

-v           显示密钥库中的证书详细信息 

-export      将别名指定的证书导出到文件 

-file        参数指定导出到文件的文件名 

-delete      删除密钥库中某条目 

-import      将已签名数字证书导入密钥库 

-keypasswd   修改密钥库中指定条目口令 

-dname       指定证书拥有者信息 

-keyalg      指定密钥的算法 

-validity    指定创建的证书有效期多少天 

-keysize     指定密钥长度 

 

使用说明： 

导入一个证书命令可以如下： 

keytool -import -keystore cacerts -storepass 666666 -keypass 888888 -alias alibabacert -file C:\alibabajava\cert\test_root.cer 

其中-keystore cacerts中的cacerts是jre中默认的证书库名字，也可以使用其它名字 

-storepass 666666中的666666是这个证书库的密码 

-keypass 888888中的888888是这个特定证书的密码 

-alias alibabacert中的alibabacert是你导入证书的别名，在其它操作命令中就可以使用它 

-file C:\alibabajava\cert\test_root.cer中的文件路径就是要导入证书的路径 

 

浏览证书库里面的证书信息，可以使用如下命令： 

keytool -list -v -alias alibabacert -keystore cacerts -storepass 666666 

 

要删除证书库里面的某个证书，可以使用如下命令： 

keytool -delete -alias alibabacert -keystore cacerts -storepass 666666 

 

要导出证书库里面的某个证书，可以使用如下命令： 

keytool -export -keystore cacerts -storepass 666666 -alias alibabacert -file F:\alibabacert_root.cer 

 

要修改某个证书的密码（注意：有些数字认证没有私有密码，只有公匙，这种情况此命令无效） 

这个是交互式的，在输入命令后，会要求你输入密码 

keytool -keypasswd -alias alibabacert -keystore cacerts 

这个不是交互式的，输入命令后直接更改 

Keytool -keypasswd -alias alibabacert -keypass 888888 -new 123456 -storepass 666666 -keystore cacerts