关闭

JDK自带工具keytool生成ssl证书

标签: 数据安全ssl
6121人阅读 评论(2) 收藏 举报
分类:

JDK自带工具keytool生成ssl证书

 

前言:

因为公司项目客户要求使用HTTPS的方式来保证数据的安全,所以木有办法研究了下怎么生成ssl证书来使用https以保证数据安全。

百度了不少资料,看到JAVA的JDK自带生成SSL证书的工具:keytool,外加看了同事的心得体会,自己总结了一下具体的使用方法和使用过程中发现的问题及解决办法。

 

1:什么是HTTPS?

HTTPS其实是有两部分组成:HTTP + SSL / TLS,

也就是在HTTP上又加了一层处理加密信息的模块,并且会进行身份的验证。

问题:

Firebug和postman之类的浏览器调试工具,为什么获取到的是明文?

解答:

SSL是对传输的数据进行加密,针对的是传输过程的安全。 

firebug之类的浏览器调试工具,

因为他们得到的是客户端加密之前/解密之后的数据,因此是明文的。

2:什么是自签名证书?

就是自己生成的证书,并不是官方生成的证书。

除非是很正式的项目,否则使用自己签发的证书即可,因为官方生成证书是要花钱滴。

 

3:进入正题,使用JDK自带工具KeyTool 生成自签发证书!

第一步:为服务器生成证书

打开CMD命令行工具,cd到C盘根目录或者是jdk的bin目录下,如下图所示:

使用keytool命令生成证书:

keytool 

-genkey 

-alias tomcat(别名) 

-keypass 123456(别名密码) 

-keyalg RSA(算法) 

-keysize 1024(密钥长度) 

-validity 365(有效期,天单位) 

-keystore D:/keys/tomcat.keystore(指定生成证书的位置和证书名称) 

-storepass 123456(获取keystore信息的密码)

 

方便复制版:

keytool -genkey -alias tomcat -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -keystore D:/keys/tomcat.keystore -storepass 123456

图例:

 

回车执行后如下图:

 

点击回车即可在D:/keys/文件夹内生成名为:tomcat.keystore的文件。

成功后无提示信息

注意:

①D:/keys/ 目录需要提前手动创建好,否则会生成失败

②提示输入域名的时候不能输入IP地址

 

问题①的错误信息如下:

 

 

 

第二步:为客户端生成证书

为浏览器生成证书,以便让服务器来验证它。

为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,

因此,使用如下命令生成:

keytool 

-genkey 

-alias client 

-keypass 123456

-keyalg RSA 

-storetype PKCS12 

-keypass 123456 

-storepass 123456 

-keystore D:/keys/client.p12

 

方便复制版:

keytool -genkey -alias client1 -keypass 123456 -keyalg RSA -keysize 1024 -validity 365 -storetype PKCS12 -keystore D:/keys/client1.p12 -storepass 123456

图例:

 

第二步余下操作步骤同第一步。

 

第三步:让服务器信任客户端证书

1、

由于不能直接将PKCS12格式的证书库导入,

必须先把客户端证书导出为一个单独的CER文件,使用如下命令:

keytool -export -alias client -keystore D:/keys/client.p12 -storetype PKCS12 -keypass 123456 -file D:/keys/client.cer

注意:

Keypass:指定CER文件的密码,但会被忽略,而要求重新输入

2、

将该文件导入到服务器的证书库,添加为一个信任证书:

keytool -import -v -file D:/keys/client.cer -keystore D:/keys/tomcat.keystor

e -storepass 123456

图例:

 

完成之后通过list命令查看服务器的证书库,

可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:

keytool -list -v -keystore D:/keys/tomcat.keystore

 

第四步:让客户端信任服务器证书

1、

由于是双向SSL认证,客户端也要验证服务器证书,

因此,必须把服务器证书添加到浏览器的“受信任的根证书颁发机构”。

由于不能直接将keystore格式的证书库导入,

必须先把服务器证书导出为一个单独的CER文件,使用如下命令:

keytool -keystore D:/keys/tomcat.keystore -export -alias tomcat6 -file D:/keys/server.cer

2、

双击server.cer文件,按照提示安装证书,

将证书填入到“受信任的根证书颁发机构”。

填入方法:

打开浏览器   - 工具  -  internet选项-内容- 证书-把中级证书颁发机构里的www.localhost.com(该名称即时你前面生成证书时填写的名字与姓氏)证书导出来-再把导出来的证书导入  受信任的根颁发机构  就OK了。

 

第五步:配置Tomcat服务器

<Connector  port=”8443”

protocol=”org.apache.coyote.http11.Http11NioProtocol” SSLEnabled=”true”

maxThreads=”150”

scheme=”https”

secure=”true”

clientAuth=”true”

sslProtocol=”TLS”

keystoreFile=”D:/keys/tomcat.keystore”

keystorePass=”123456”

truststoreFile=”D:/keys/tomcat.keystore”

truststorePass=”123456” />

 

属性说明:

clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证

keystoreFile:服务器证书文件路径

keystorePass:服务器证书密码

truststoreFile:用来验证客户端证书的根证书,此例中就是服务器证书

truststorePass:根证书密码

 

注意:

① 设置clientAuth属性为True时,需要手动导入客户端证书才能访问。

② 要访问https请求 需要访问8443端口,访问http请求则访问Tomcat默认端口(你自己设置的端口,默认8080)即可。

 

 

总结:

经过以上五步,你使用HTTPS 端口为8443 进行访问的时候 就是经过SSL信息加密,不怕被截获了。

通话的双方,必须是都拥有证书的端,才能进行会话,换句话说,就是只有安装了咱证书的客户端,才能与服务器通信。

 

小贴士:

强制 https 访问

在 tomcat /conf/web.xml 中的 </welcome- file-list> 后面加上这

  1. <login-config>    
  2. <!– Authorization setting for SSL –>    
  3. <auth-method>CLIENT-CERT</auth-method>    
  4. <realm-name>Client Cert Users-only Area</realm-name>    
  5. </login-config>    
  6. <security-constraint>    
  7. <!– Authorization setting for SSL –>    
  8. <web-resource-collection >    
  9. <web-resource-name >SSL</web-resource-name>    
  10. <url-pattern>/*</url-pattern>    
  11. </web-resource-collection>    
  12. <user-data-constraint>    
  13. <transport-guarantee>CONFIDENTIAL</transport-guarantee>    
  14. </user-data-constraint>    
  15. </security-constraint> 

 

完成以上步骤后,在浏览器中输入http的访问地址也会自动转换为https了。

 

 

 

 

 

 

 

 

 

 

 

 

 

附录1:

keytool常用命令 

-alias       产生别名 

-keystore    指定密钥库的名称(就像数据库一样的证书库,可以有很多个证书,cacerts这个文件是jre自带的, 

             你也可以使用其它文件名字,如果没有这个文件名字,它会创建这样一个) 

-storepass   指定密钥库的密码 

-keypass     指定别名条目的密码 

-list        显示密钥库中的证书信息 

-v           显示密钥库中的证书详细信息 

-export      将别名指定的证书导出到文件 

-file        参数指定导出到文件的文件名 

-delete      删除密钥库中某条目 

-import      将已签名数字证书导入密钥库 

-keypasswd   修改密钥库中指定条目口令 

-dname       指定证书拥有者信息 

-keyalg      指定密钥的算法 

-validity    指定创建的证书有效期多少天 

-keysize     指定密钥长度 

 

使用说明: 

导入一个证书命令可以如下: 

keytool -import -keystore cacerts -storepass 666666 -keypass 888888 -alias alibabacert -file C:\alibabajava\cert\test_root.cer 

其中-keystore cacerts中的cacerts是jre中默认的证书库名字,也可以使用其它名字 

-storepass 666666中的666666是这个证书库的密码 

-keypass 888888中的888888是这个特定证书的密码 

-alias alibabacert中的alibabacert是你导入证书的别名,在其它操作命令中就可以使用它 

-file C:\alibabajava\cert\test_root.cer中的文件路径就是要导入证书的路径 

 

浏览证书库里面的证书信息,可以使用如下命令: 

keytool -list -v -alias alibabacert -keystore cacerts -storepass 666666 

 

要删除证书库里面的某个证书,可以使用如下命令: 

keytool -delete -alias alibabacert -keystore cacerts -storepass 666666 

 

要导出证书库里面的某个证书,可以使用如下命令: 

keytool -export -keystore cacerts -storepass 666666 -alias alibabacert -file F:\alibabacert_root.cer 

 

要修改某个证书的密码(注意:有些数字认证没有私有密码,只有公匙,这种情况此命令无效) 

这个是交互式的,在输入命令后,会要求你输入密码 

keytool -keypasswd -alias alibabacert -keystore cacerts 

这个不是交互式的,输入命令后直接更改 

Keytool -keypasswd -alias alibabacert -keypass 888888 -new 123456 -storepass 666666 -keystore cacerts

 

 

 

撰写日期:2016年02月18日 

撰写人:张之彬

2
0
查看评论

java 生成证书和签发证书(纯代码,编译通过)

package com.xiuye.cert; import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.FileOutputStream; i...
  • xiuye2015
  • xiuye2015
  • 2017-01-17 17:42
  • 1807

基于Java代码实现证书生成

前阵子学习了Apache的openssl生成签名证书,通过一个简单的Web项目实现的,框架使用的是: struts2+spring+hibernate maven工程 1.      包结构: 2.   &#...
  • JY_He
  • JY_He
  • 2016-07-26 17:22
  • 2945

java生成数字证书(二、私钥数字证书)

先生成jks,再将jks转化为pfx 之所以所有的参数都用info[],是为了统一测试,还有就是我比较懒,不想再改了>v< 1.生成jkspackage ca;import java.io.FileInputStream; import java.io.FileOutputStrea...
  • huahuast
  • huahuast
  • 2015-05-17 20:17
  • 763

Java SSL 自签名证书生成

什么是HTTPS?当使用 基于SSL/TLS(通常使用 https:// URL)向站点进行HTTP请求时,从服务器向客户机发送一个证书。客户机使用已安装的公共证书通过这个证书验证服务器的身份,然后检查 IP 名称(机器名)与客户机连接的机器是否匹配。客户机生成一些可以用来生成对话的私钥(称为会话密...
  • FlySpace
  • FlySpace
  • 2007-03-18 18:39
  • 9070

java生成数字证书(一、公钥数字证书)

这一段时间做毕业设计,要生成数字证书,于是学习了相关知识,这儿和大家分享一下。 首先介绍一下数字证书的分类,数字证书分为两种:公钥数字证书(cer)和私钥数字证书(pfx),顾名思义cer就是只含有公钥的数字证书,pfx则含有私钥。 1.生成公钥数字证书 需要导入bouncycastle-jc...
  • huahuast
  • huahuast
  • 2015-05-16 17:25
  • 1689

java 代码生成签发数字证书

from  http://blog.csdn.net/cr266/article/details/6985682?locationNum=2 import java.io.BufferedInputStream; import java.io.File; import java.io...
  • u010820135
  • u010820135
  • 2016-09-07 23:16
  • 1576

java生成CA证书

  • 2014-05-18 15:29
  • 12.45MB
  • 下载

Java 生成数字证书系列(三)生成数字证书

序 前两篇把基本的概念和构成都大致的说了一下,今天这篇文章,主要是讲一下,如何使用 Java 代码生成 CA 证书,以及在生成证书的时候,需要设置的一些属性。 正文 废话不多说,直接上内容。 这里使用的是 Java 的 api ,以及第三方的一个组件 —— BC,(Bouncy ...
  • happylee6688
  • happylee6688
  • 2014-12-30 15:10
  • 15633

java编程方式生成CA证书

下面是java编程方式生成CA证书的代码,使用的是BC的provider。生成CA证书与生成普通证书的区别是:1,生成CA证书时,issuer和subject一致;2,在ContentSigner.build()的时候(签名的时候)使用的是与待签名公钥相应的私钥。 下面代码,CA生成以后把私钥...
  • linshichen
  • linshichen
  • 2016-06-06 16:51
  • 1116

java代码生成签发证书

package com.asc.validate; import java.io.File; import java.io.FileOutputStream; import java.io.IOException; import java.security.cert.Certificat...
  • cr266
  • cr266
  • 2011-11-17 20:24
  • 2267
    个人资料
    • 访问:182911次
    • 积分:2813
    • 等级:
    • 排名:第15013名
    • 原创:80篇
    • 转载:173篇
    • 译文:0篇
    • 评论:14条
    文章分类
    最新评论