SSL协议使用不对称加密技术实现双方之间信息的安全传递。可以实现信息传递的保密性、完整性,并且会话双方能鉴别对方身份。
与网站建立https连接时,浏览器与WEB SERVER之间要经过一个握手的过程来完成身份鉴定与密钥交换,建立安全连接。过程是:
1、用户浏览器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送到服务器
2、服务器将其SSL版本号、加密设置参数、与session有关的数据以及其它必要信息发送给浏览器,同时发给浏览器的还有服务器的证书。如果配置服务器的SSL需要验证用户身份,还要发出请求浏览器提供用户证书。
3、客户端检查服务器证书,如果检查失败,提示不能建立SSL连接,如果成功,则继续
4、客户端浏览器为本次会话生成pre-master secret,并将其用服务器公钥加密后发送给服务器。
5、如果服务器要求鉴别客户身份,客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。
6、如果服务器要求鉴别客户身份,则检查签署客户证书的CA是否可信。如果不在信任列表中,结束本次会话。如果检查通过,服务器用自己的私钥解密收到的 pre-master secret,并用它通过某些算法生成本次会话的master secret。
7、客户端与服务器均使用此master secret生成本次会话的会话密钥(对称密钥)。在双方SSL握手结束后传递任何消息均使用此会话密钥。这样做的主要原因是对称加密比非对称加密的运算量低一个数量级以上,能够显著提高双方会话时的运算速度。
8、客户端通知服务器此后发送的消息都使用这个会话密钥进行加密。并通知服务器客户端已经完成本次SSL握手。
9、服务器通知客户端此后发送的消息都使用这个会话密钥进行加密。并通知客户端服务器已经完成本次SSL握手。
10、本次握手过程结束,会话已经建立。双方使用同一个会话密钥分别对发送以及接受的信息进行加、解密。
很奇怪的问题,按照基本设置配了SSL,但启动tomcat老报“No Certificate file specified or invalid file format”。
原配置如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="D:/keystore/.keystore" keystorePass="111111"/>
修改后配置如下:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="D:/keystore/.keystore" keystorePass="111111"/>
修改了protocol属性值后问题解决。
使用keytool为Tomcat生成证书,假定目标机器的域名是“localhost”,keystore文件存放在“E:\tomcat.keystore”,口令为“password”,使用如下命令生成
keytool -genkey -v -alias tomcat -keyalg RSA -keystore tomcat.keystore -dname "CN=gavin-pc,OU=cn,o=cn,L=cn,ST=cn,C=cn" -storepass changeit -keypass changeit
第二步:为客户端生成证书
下一步是为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE和Firefox,证书格式应该是PKCS12,因此,使用如下命令生成:
keytool -genkey -v -alias myKey -keyalg RSA -storetype PKCS12 -keystore my.p12 -dname "CN=MyKey,OU=cn,o=cn,L=cn,ST=cn,C=cn" -storepass password1 -keypass password2
第三步:让服务器信任客户端证书
由于是双向SSL认证,服务器必须要信任客户端证书,因此,必须把客户端证书添加为服务器的信任认证。由于不能直接将PKCS12格式的证书库导入,我们必须先把客户端证书导出为一个单独的CER文件,使用如下命令:
keytool -export -alias myKey -keystore my.p12 -storetype PKCS12 -storepass password1 -rfc -file my.cer
通过以上命令,客户端证书就被我们导出到“C:\my.cer”文件了。下一步,是将该文件导入到服务器的证书库,添加为一个信任证书:
keytool -import -v -file my.cer -keystore tomcat.keystore -storepass changeit
最后:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="e:/tomcat.keystore" keystorePass="changeit"
truststoreFile="e:/tomcat.keystore" truststorePass="changeit"
/>
验证:其中,clientAuth指定是否需要验证客户端证书,如果该设置为“false”,则为单向SSL验证,SSL配置可到此结束。如果clientAuth设置为“true”,表示强制双向SSL验证,必须验证客户端证书。如果clientAuth设置为“want”,则表示可以验证客户端证书,但如果客户端没有有效证书,也不强制验证。
true是 服务器不会颁发证书必须由客户端导入
一、我用自己的证书请求客户端生成了密钥和证书请求: my.key和my.req
二、CA签署服务端程序自签署根CA证书:root.cer和root.key
三、CA签署了my.req,生成my.crt
四、用keytool生成了tomcat的keystore
1、keytool -genkey -alias tomcat -keyalg RSA -keystore tomcat.ketstore
2、keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore tomcat.ketstore
3、用CA签署了certreq.csr,生成tomcat.crt
4、导入根证书和tomcat证书
keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file root.cer
keytool -import -alias tomcat -keystore tomcat.keystore -trustcacerts -file tomcat.crt
五、设置tomcat的server.xml文件,其中clientAuth="false"
六、https://localhost:8843,正确连上
七、改clientAuth="true",安装my.crt,但是这时https://localhost:8843弹出一个对话框让我选择使用的证书,就无法选择了。
所以我想请问将clientAuth="true"这样的设置后,为了完成客户和服务器的双向认证需要做如何的设置。
3055
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
