Tomcat配置https单向双向认证,iOS加密解密验证,iOS访问HTTPS

最新推荐文章于 2023-03-30 01:35:54 发布
最新推荐文章于 2023-03-30 01:35:54 发布
阅读量1.6k 收藏
点赞数
分类专栏: 服务器

一.生成证书

  • 生成CA证书。目前不使用第三方权威机构的CA来认证,自己充当CA的角色。

1.创建私钥:
openssl genrsa -out root/root-key.pem 1024 
2.创建证书请求:
openssl req -new -out root/root-req.csr -key root/root-key.pem
3.自签署证书:
openssl x509 -req -in root/root-req.csr -out root/root-cert.pem -signkey root/root-key.pem -days 3650 
4.将证书导出成浏览器支持的.p12格式:
openssl pkcs12 -export -clcerts -in root/root-cert.pem -inkey root/root-key.pem -out root/root.p12

  • 生成server证书

1.创建私钥:
openssl genrsa -out server/server-key.pem 1024 
2.创建证书请求:
openssl req -new -out server/server-req.csr -key server/server-key.pem 
3.自签署证书:
openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA root/root-cert.pem -CAkey root/root-key.pem -CAcreateserial -days 3650 
4.将证书导出成浏览器支持的.p12格式:
openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12

  • 生成client证书

1.创建私钥:
openssl genrsa -out client/client-key.pem 1024 
2.创建证书请求:
openssl req -new -out client/client-req.csr -key client/client-key.pem 
3.自签署证书:
openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA root/root-cert.pem -CAkey root/root-key.pem -CAcreateserial -days 3650 
4.将证书导出成浏览器支持的.p12格式:
openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12

  • 根据root证书生成jks文件
进入root目录

keytool -import -v -trustcacerts -storepass password -alias root -file root-cert.pem -keystore root.jks


Tomcat 配置

 <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
        maxThreads="150" scheme="https" schemeecure="true"
        keystoreType="PKCS12" keystoreFile="/Users/fengchao/cer/server/server.p12" keystorePass="1234"
        truststoreType="JKS" truststoreFile="/Users/fengchao/cer/root/root.jks" truststorePass="password" 
        clientAuth="false" sslProtocol="TLS" />

注意参数大小写,和路径的写法,这个是mac配置

主要参数是SSLEnable,是否启用HTTPS,如果true,则用户用浏览器访问8443时,会提示要在浏览器里添加证书,因为我们是自签名,属于非认证签名,所以会提示,如果是第三方认证则的SSL证书,则浏览器默认通过,可以直接安全访问。iOS客户端如果将认真安全跳过,则可以直接访问,如果开启则不能访问。

clientAuth是否启用客户端验证,也可以说是否是双向认证,浏览器访问时会寻找系统登陆中的keychain,如果你安装过对应的client,则会出现选择框让用户选择,选择后提交则会正常显示。iOS则也类似,需要读取本地证书,然后带证书提交。

二.iOS客户端 https单向验证

NSURL *url = [NSURL URLWithString:@"https://localhost:8443/deploy/index.html"];  
  1. ASIFormDataRequest *request = [ASIFormDataRequest requestWithURL:url];  
  2. [request setValidatesSecureCertificate:YES];//set to NO if you use the self-signed certificate  
如果这个时候你开启验证,则会返回如下错误

A connection failure occurred: SSL problem (Possible causes may include a bad/expired/self-signed certificate, clock set to wrong date)

因为我们的证书是自签名,而苹果已经明确提示,你的证书可能是自签名,所以导致失败。

则个时候如果访问其他HTTPS网站则不会报错,所以这个验证只有在正式的证书才有效果。这个也很合理,如果你的客户端自签名都能通过,这样没有安全可言。除非你让用户自己选择是否信任。


三.iOS客户端  https双向验证

      
  1.      SecIdentityRef identity = NULL;  
  2.     SecTrustRef trust = NULL;  
  3. //    SecCertificateRef myReturnedCertificate = NULL;  
  4.      NSData *PKCS12Data = [NSData dataWithContentsOfFile:[[NSBundle mainBundle] pathForResource:@"client" ofType:@"p12"]];  
  5. //    NSLog(@"%@",[[NSBundle mainBundle] pathForResource:@"client" ofType:@"p12"]);  
  6.         [ASIHTTPRequestDemo extractIdentity:&identity andTrust:&trust fromPKCS12Data:PKCS12Data];  
  7.        [request setClientCertificateIdentity:identity];  
  8. //    status = SecIdentityCopyCertificate (identity,&myReturnedCertificate);   
  9. //        [request setClientCertificates:[NSArray arrayWithObject:(id)PKCS12Data]];  
  10.   
  11.   
  12.     [request startSynchronous];  
  13.     NSError *error = [request error];  
  14.   
  15.   
  16.     if (!error) {  
  17.             //do something  
  18.       }  
  19. ......  
  20. }  


思路就是读取p12文件,然后将证书内容和证书密钥导出,然后将证书塞入request,随后startSynchronous

由于没有正式证书,目前没有通过。所以如果有正式证书后再验证。或者已经验证过的朋友请留言交流下,在下感激不尽。

下面是提取P12信息代码

+ (BOOL)extractIdentity:(SecIdentityRef *)outIdentity andTrust:(SecTrustRef*)outTrust fromPKCS12Data:(NSData *)inPKCS12Data  
  1. {  
  2.     OSStatus securityError = errSecSuccess;  
  3.       
  4. //  NSDictionary *optionsDictionary = [NSDictionary dictionaryWithObject:@"" forKey:(id)kSecImportExportPassphrase];  
  5.       
  6.     CFStringRef password = CFSTR("1234"); //证书密码  
  7.     const void *keys[] =   { kSecImportExportPassphrase };  
  8.     const void *values[] = { password };  
  9.       
  10.     CFDictionaryRef optionsDictionary = CFDictionaryCreate(NULL, keys,values, 1,NULL, NULL);  
  11.     CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);  
  12.     securityError = SecPKCS12Import((CFDataRef)inPKCS12Data,(CFDictionaryRef)optionsDictionary,&items);  
  13.       
  14.     if (securityError == 0) {  
  15.         CFDictionaryRef myIdentityAndTrust = CFArrayGetValueAtIndex (items, 0);  
  16.         const void *tempIdentity = NULL;  
  17.         tempIdentity = CFDictionaryGetValue (myIdentityAndTrust, kSecImportItemIdentity);  
  18.         *outIdentity = (SecIdentityRef)tempIdentity;  
  19.         const void *tempTrust = NULL;  
  20.         tempTrust = CFDictionaryGetValue (myIdentityAndTrust, kSecImportItemTrust);  
  21.         *outTrust = (SecTrustRef)tempTrust;  
  22.     } else {  
  23.         NSLog(@"Failed with error code %d",(int)securityError);  
  24.         return NO;  
  25.     }  
  26.     return YES;  
  27. }  

四.RSA服务端加密,客户端解密
根据私钥和csr导出公钥

openssl x509 -req -in root-req.csr -out root_public_key.der -outform der -signkey root-key.pem -days 3650

如果重新来制作密钥则可以执行

openssl req -x509 -out public_key.der -outform der -new -newkey rsa:1024 -keyout private_key.pem -days 3650

这个语句等于3个作用

1)创建私钥

openssl genrsa -out private_key.pem 1024

2)创建证书请求(按照提示输入信息)

openssl req -new -out cert.csr -key private_key.pem

3)自签署根证书

openssl x509 -req -in cert.csr -out public_key.der -outform der -signkey private_key.pem -days 3650

客户端代码主要如下

NSString *pkcsPath = [[NSBundle mainBundle] pathForResource:@"root" ofType:@"p12"];  
  1. // 下面的与上面的一样  
  2.    //   NSString *pkcsPath = [[NSBundle mainBundle] pathForResource:@"pkcs-daniate" ofType:@"pfx"];  
  3. NSString *certPath = [[NSBundle mainBundle] pathForResource:@"server_public_key" ofType:@"der"];  
  4.   
  5. Security *security = [Security sharedSecurity];  
  6.   
  7. OSStatus status = -1;  
  8.   
  9. status = [security extractEveryThingFromPKCS12File:pkcsPath passphrase:@"1234"];  
  10. NSLog(@"status = %ld", status);  
  11. // 取得公钥  
  12. status = [security extractPublicKeyFromCertificateFile:certPath];  
  13. NSLog(@"status = %ld", status);  
  14. // 苹果官方文档中只说了短数据加密,但也提到了长数据的分段加密  
  15. // 短数据  
  16.     NSString *plainText = @"This is plain text~中华人民共和国~";  
  17. NSData *plainData = [plainText dataUsingEncoding:NSUTF8StringEncoding];  
  18. NSData *encrypted = [security encryptWithPublicKey:plainData];  
  19. NSData *decrypted = [security decryptWithPrivateKey:encrypted];  
  20.  //  NSString *encryptedText = [[NSString alloc] initWithData:encrypted encoding:NSUTF8StringEncoding];  
  21. NSString *decryptedText = [[NSString alloc] initWithData:decrypted encoding:NSUTF8StringEncoding];  
  22.      
  23.    //   NSLog(@"plainData: %p", plainData);  
  24.    //   NSLog(@"encrypted: %p", encrypted);  
  25.    //   NSLog(@"decrypted: %p", decrypted);  
  26.    NSLog(@"encrypted: %@",encrypted);  
  27. NSLog(@"decrypted text: %@", decryptedText);  
p12文件包含私密,der则是包含公钥,分别提取并且利用其加密解密,从而达到验证的目的。
蜗牛大侠
关注
专栏目录
关于https双向认证详解tomcat+java实现交叉验证
Ender__的专栏
06-18 3096
关于https双向认证详解 原doc文档导出pdf https://github.com/enderwsp/share4u/raw/master/%E5%85%B3%E4%BA%8Ehttps%E7%9A%84%E5%8F%8C%E5%90%91%E8%AE%A4%E8%AF%81%E8%AF%A6%E8%A7%A3tomcat%2Bjava%E5%AE%9E%E7%8E%B0%E4%BA%...
IOS-Swift面试相关基础
CQUPT—ZHX
03-04 2226
Xcode部分 Storyboard基础控件: 视图控制器在SB种称为场景 控件: 1.Label:可包含任意数量的文本,UILabel可收缩,换行以及截断文本。 2.Button:按钮。 3.Segmentel Control:可表示单个或多个选择或命令列表,可显示文本或图像,但无法同时显示两者。 4.Text Field:用户可编辑的文本框。 5.Slider:可滑动的水平条。 6.Switc...
tomcat和openSSL构建https双向认证
07-28
这是我实战的笔记,全程直播。 #### Tomcat和Openssl构建HTTPS双向认证 ###### 选择HTTPS WEB服务器 Linux下安装OpenSSL 一、创建服务器证书、客户端证书以及CA 1、生成--服务器端--私钥和证书请求 2、生成--客户端-----私钥和证书请求 3、生成CA 4、通过CA签发证书 5、生成pem格式证书 6、生成pkcs12格式证书 二、tomcat实现双向认证 1、创建服务器信任的CA证书库 2、配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书)
Tomcat服务器配置https双向认证过程实战
weixin_30872789的博客
01-23 454
什么是https? 百度百科足够解释它:http://baike.baidu.com/view/14121.htm 工具:keytool (Windows下路径:%JAVA_HOME%/bin/keytool.exe) 环境:Windows8.1企业版、Tomcat-7.0.27、JDK1.6、IE11、Chrome 一、为服务器生成证书 C:\Windows...
使用openssl向苹果申请证书
T_long的专栏
12-10 400
Keychain的证书助手可以很方便的申请开发证书,但是它是GUI,openssl也可以做到。
tomcat 使用httpsIOS 请求https URL
修也
10-11 1328
jdk的keytool为服务器tomcat生成keystore,然后得到该keystore的证书cer,将该cer发给ios客户端,让其开发者使用该证书,tomcat配置好keystore后,接下来的https的链接就能顺利的request和response数据。 注:这是自签名证书,不受ios信任,需要开发者,合理绕过程序https的ca机制。具体问题解决方法,搜一搜。此次问题全有ios缺少to
软件测试面试题
lmyyyyuer的博客
04-13 2447
测试策略 单元测试、集成测试、系统测试、验收测试、回归测试 1、单元测试:完成最小的软件设计单元(模块)的验证工作,目标是确保模块被正确的编码,使用过程设计描述作为指南,对重要的控制路径进行测试以发现模块内的错误,通常情况下是白盒的,对代码风格和规则、程序设计和结构、业务逻辑等进行静态测试,及早的发现和解决不易显现的错误。 2、集成测试:通过测试发现与模块接口有关的问题。目标是把通过了单元测试的模块拿来,构造一个在设计中所描述的程序结构,应当避免一次性的集成(除非软件规模很小),而采用增量集成。 自顶向下集
webmagic采集CSDN的Java_WebDevelop页面
热门推荐
hepanlaurence的专栏
05-23 1万+
使用webmagic采集博客类的网站示例
2022年Java 工程师面试题
weixin_42572320的博客
03-03 2507
第 1 页 共 485 页 目录 1、什么是 Mybatis?............................................................................... 33 2、Mybaits 的优点:............................................................................... 33 3、MyBatis 框架的缺点:.............................
ios openssl类库
05-04
ios openssl 类库 LibCrypto.a与libssl.a
openssl生成证书
12-27
使用openssl生成证书,有详细的步骤说明,亲测可用。还有一些关于证书的一些常用转换操作介绍
HTTPS单向双向认证
weixin_30599769的博客
08-29 231
HTTPS的请求相比http请求,增加了证书认证步骤: 单向认证中,需要客户端导入服务端证书即可。 使用keytool即可: keytool -import -alias 别名 -keystore cacerts -file 证书文件 -trustcacerts keytool的使用参数大致列举如下: -genkey #创建一个默认文件 .keystore,还会产生一...
利用tomcat服务器配置https双向认证https单向认证-ssl、tls
sh_c1991的专栏
02-21 500
关键字:利用tomcat服务器配置https双向认证https单向认证-ssl、tls  首先推荐另一篇不错的文章:http://lixor.iteye.com/blog/1532655  很多朋友、同事问过一个问题,https/ssl怎么做,干什么用的等,今天写出来供大家参考,希望对大家有所帮助.  背景讲述:  1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源  2.
实现在 Linux 下 Tomcat双向SSL认证
蓝天战鸽-Java攻城狮
08-06 976
实现在 Linux 下 Tomcat双向SSL认证 润名,Monday, Twenty-sixth Of June 2006   一、前言:   关于如何使用Tomcat服务器实现双向SSL认证的文章很早就有了, 比较实用的文章可以看看 IBM developerWorks 中国网站 2002年5月 配置Tomcat 4使用双
使用 OpenSSL 创建自签名证书
最新发布
Dexter's Laboratory
03-30 874
这时候还会自动生成一个后面用这个根证书再签发的证书中会包含此序列号。
ios自己搭建服务器证书,iOS 自签名证书建立(ca)
weixin_34717586的博客
07-31 787
请求ca key:openssl genrsa -out ca.key 1024建立ca 证书:openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -subj "/C=CN/ST=Shanghai/L=Shanghai/O=ule/OU=ule.com Root CA"请求服务器私钥:openssl genrsa -out serve...
ASIHTTPRequest下访问https
u010420635的专栏
05-09 967
#import "ClientCertificateTests.h"#import "ASIHTTPRequest.h" @implementation ClientCertificateTests - (void)testClientCertificate{ // This test will fail the second time it is run, I presume the certi
tomcat部署https,用openssl签发证书
龙龟的文具盒
05-26 5407
常见后缀cer,crt证书(不支持私钥) 一般是签署后CA颁发的证书,实质是CA用私钥在申请者的公钥上签名 —–BEGIN CERTIFICATE—–csr:(Certificate Signing Request) 申请签名的证书请求 –-BEGIN NEW CERTIFICATE REQUEST–pfx,p12:(Personal Information Exchange) 存储证书和私
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值