ssl https双向验证的配置与证书库的生成

最新推荐文章于 2024-05-25 11:30:52 发布
最新推荐文章于 2024-05-25 11:30:52 发布
阅读量1.7k 收藏
点赞数
分类专栏: 信息安全 文章标签: 信息安全 ssl https tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hepfei90/article/details/44258847
版权

1.SSL认证

不需要特别配置,相关证书库生成看https认证中的相关部分

2.HTTPS认证

一、基本概念

1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源 
2.双向认证,如果客户端浏览器没有导入客户端证书,是访问不了web系统的,找不到地址 
如果只是加密,我感觉单向就行了。 
如果想要用系统的人没有证书就访问不了系统的话,就采用双向

二、服务器配置:

打开Tomcat 根目录下的 /conf/server.xml 修改server.xml

客户端证书注册名称必须与域名一致,否则无法验证。

例如访问https://127.0.0.1:8443/Test必须使用名称为127.0.0.1的证书,

访问https://hepengfei:8443/Test必须使用名称为hepengfei的证书,

本机中域名解析修改文件是C:/WINDOWS/system32/drivers/etc/hosts

端口号改为8443,为自定义端口    访问https://127.0.0.1:8443/Test

端口号改为443,则为默认端口    访问https://127.0.0.1/Test

clientAuth="true"为双向认证      clientAuth="false"为单向认证 

使用密钥库文件和密码(自己使用的证书)  

信任密钥库文件和密码(含有客户端证书或其根证书)

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"

clientAuth="true" sslProtocol="TLS"

keystoreFile="C:/Java/Tomcat/conf/keystore/server" keystorePass="080302"

truststoreFile="C:/Java/Tomcat/conf/keystore/server/trust" truststorePass="080302" 

/>

三、证书的生成如下:
执行命令前先保证文件夹存在。例如:在c盘建立keystore文件夹
第一步:为服务器生成证书 

确定域名:本机中域名解析修改文件是C:/WINDOWS/system32/drivers/etc/hosts
使用keytool 为 Tomcat 生成证书和密钥库,假定目标机器的域名是“ hepengfei ”, keystore 文件存放在“ C:/keystoreserver ”,口令为“ 080302 ”,命令如下: 
keytool -genkey -v -keystore C:/keystore/server -alias serverkey -keyalg RSA -validity 3650 -dname "CN=hepengfei,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass 080302 -keypass 080302   

keytool -genkey -v -keystore C:keystoreserver -alias serverkey -keyalg RSA -validity 3650 -dname "CN=hepengfei,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass 080302 -keypass 080302

生成server.cer安装在客户端解决服务器信任问题:

keytool -export -keystore C:/keystore/server -alias serverkey -file c:/keystore/server.cer -storepass 080302   

keytool -export -keystore C:keystoreserver -alias serverkey -file c:keystoreserver.cer -storepass 080302

第二步:为客户端生成证书 

(注意:个人证书的生成和使用比较特别,是分开的。先生成p12文件,然后导出cer文件,再将cer文件导入默认类型的keystore(JKS)文件)
这一步是为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE 和 Firefox ,证书格式应该是 PKCS12 ,因此,使用如下命令生成: 
keytool -genkey -v -keystore C:/keystor/euser.p12 -alias MyPC -keyalg RSA -storetype PKCS12 -validity 3650 -dname "CN=MyPC,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass 080302 -keypass 080302   

keytool -genkey -v -keystore C:keystoreuser.p12 -alias MyPC -keyalg RSA -storetype PKCS12 -validity 3650 -dname "CN=MyPC,OU=cn,O=cn,L=cn,ST=cn,c=cn" -storepass 080302 -keypass 080302

服务器要信任客户端证书,就必须把客户端证书添加为服务器的信任认证。由于不能直接将 PKCS12 格式的证书库导入,我们必须先把客户端证书导出为一个单独的 CER 文件,使用如下命令: 

keytool -export -alias MyPC -keystore C:/keystore/user.p12 -storetype PKCS12 -storepass 080302 -rfc -file C:/keystore/user.cer   

keytool -export -alias MyPC -keystore C:keystoreuser.p12 -storetype PKCS12 -storepass 080302 -rfc -file C:keystoreuser.cer

接着,将C:user.cer导入到服务器的证书库,添加为一个信任证书: 

keytool -import -v -file C:/keystore/user.cer -keystore c:/keystore/servertrust -alias user -storepass 080302  

keytool -import -v -file C:keystoreuser.cer -keystore c:keystoreservertrust -alias user -storepass 080302

 

输入“是”确认完成。
通过list 命令查看: 
keytool -list -keystore c:/keystore/servertrust -storepass 080302   

keytool -list -keystore c:keystoreservertrust -storepass 080302

 

也可以考虑将服务器证书和服务器信任证书放到一个密钥库中

第四步:配置Tomcat 服务器 

打开Tomcat 根目录下的 /conf/server.xml ,修改如下: 

<="" 1.1? sslenabled="true">maxThreads="150" scheme="https" secure="true"

clientAuth="true" sslProtocol="TLS"

keystoreFile="C:/Java/Tomcat/conf/keystore/server" keystorePass="080302"

truststoreFile="C:/JavaTomcat/conf/keystore/servertrust" truststorePass="080302" 

/>

详细解释见本节最前面介绍。

安装个人证书user.p12(密码:080302)和服务器证书server.cer
到这里启动tomcat,输入 https://hepengfei:8443/Test,就OK了。 

如果数字证书注册名称不是127.0.0.1,而是对应的一个hepengfei,

使用ip访问(https://127.0.0.1:8443/Test)可以进入选择数字证书界面(仿真格式): 

选择数字证书

    名称     颁发商

    MyPC     MyPC

    详细信息  查看证书

        确定   取消

注意点:

keytool -list -v -keystore user

使用的库要privateKeyEntry

信任的库要trustedCertEntry

ConvertKeystoreType.java用于转换密钥库类型(PKCS12与JKS格式证书库转换工具)

ssl使用其中四个密钥库

https使用server、servertrust、user.p12(安装到本地计算机)、server.cer四个

hepfei90
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSL证书生成方式
为梦想奋斗
01-11 568
创建一个rsa私钥 openssl genrsa -out server.key 1024 用 server.key 生成证书签署请求 CSR openssl req -new -key server.key -out server.csr Country Name:两个字母的国家代号 State or Province Name:省份名称 Locality
HTTPS单向认证&双向认证
yixiayizi的专栏
11-08 1万+
单向认证:保证server是真的,通道是安全的(对称密钥); 双向认证:保证client和server是真的,通道是安全的(对称密钥); 单向认证: 1.clinet 2.clinet——>server 1.client从server处拿到server的证书,通过公司的CA去验证证书,以确认server是真实的; 2.从server的证书中取出公钥,对client端产生的一个
C++第三方 【HTTP/HTTPS】— httplib
最新发布
m0_72563041的博客
05-25 2012
C++第三方 httplib学习&简单使用
python socket中实现SSL/TLS认证
weixin_68789096的博客
09-13 1790
官话说SSL是安全套接层(secure sockets layer),TLS是SSL的继任者,叫传输层安全(transport layer security)。说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
HTTPS双向认证 附demo
weixin_43215013的博客
03-17 525
https 双向认证, 使用python + flask 搭建一个demo, 帮助理解 ssl双向认证原理
cpp-http 的使用
三十的南瓜饭的博客
09-21 6997
文章目录前言`cpp-http` 简介`cpp-http` 使用介绍http 客户端搭建步骤http 服务端搭建步骤`cpp-http` 示例服务端实现客户端实现参考资料 前言 最近在做的一个项目需要使用到 HTTP 协议,在网上查了很久,也结合了之前学长做的项目,发现 cpp-http 使用挺多的,所以就边学边做笔记,顺便分享出来(我觉得知识之所以叫知识,就是因为它能被记录并能被传播,为人所知,为人所识)。 我准备把这个学习记录做成一个系列文章,这个系列里面,我会介绍从 HTTP 协议诞生到目前的
Java如何跳过httpsssl证书验证详解
08-25
Java跳过HTTPSSSL证书验证详解 本文主要介绍了Java跳过HTTPSSSL证书验证的解决思路,并通过示例代码进行了详细的介绍,对大家的学习或者工作具有一定的参考学习价值。 一、HTTPS和HTTP的区别 HTTPS和HTTP的...
nginx配置ssl双向验证的方法
09-30
总结来说,Nginx的SSL双向验证配置是一个涉及证书生成、Nginx配置修改以及客户端设置的多步骤过程。正确实施后,它能提供更高级别的安全保护,防止中间人攻击和其他网络安全威胁。在实际操作中,务必确保所有涉及的...
IOS,Android SSL双向认证HTTPS方式请求及配置证书
12-19
本文将详细介绍`IOS`和`Android`平台上如何实现`SSL`双向认证以及配置证书。 首先,理解`SSL`双向认证的概念。常规的`SSL`单向认证中,服务器会验证客户端的身份,但客户端并不验证服务器的身份。而在双向认证中,...
nginx环境下配置ssl加密(单双向认证、部分https
09-30
在Nginx环境下配置SSL加密主要涉及单向认证、双向认证以及部分HTTPS页面加密。SSL(Secure Sockets Layer,安全套接层)和TLS(Transport Layer Security,传输层安全)是用于在网络上提供加密和数据完整性校验的...
https双向认证证书配置详解
11-02
### HTTPS双向认证证书配置详解 #### 一、前置知识与概念理解 在开始具体操作之前,我们先来明确几个核心概念及其相互之间的关系。 - **DER/CER**: 这些文件通常是二进制格式,仅包含证书而不包含私钥。 - **CRT*...
Qt5.13.0 Https.zip
10-15
Qt Network为使用TCP/IP的编程应用程序提供了一组API,我们为SSL套接字和OCSP stapling支持添加了安全通道支持。 Qt 5.13现在使用OpenSSL 1.1来支持Linux和Android上的SSL连接。
nigix或apche(xampp,phpstudy等)安装本地ssl证书(httsp://localhost,httsp://127.0.0.1)超简单方法
遗忘
06-28 5665
第1步:使用mkcert签发本地证书. **方法1:**choco命令: choco install mkcert, mkcert localhost 127.0.0.1 **方法2:**不会choco的也没关系.点此下载mkcert的exe程序 cmd命令: C:\Users\Administrator\Downloads\mkcert-v1.3.0-windows-amd64.exe loca...
springcloud配置https(使用自制证书)
qq_36070644的博客
11-14 1838
本文包含eureka,服务消费者,服务提供者。nginx及feign的https配置
HTTP、HTTPSSSL协议以及相关报文讲解
m0_49864110的博客
12-07 2845
HTTP(Hypertext Transfer Protocol)基本概念HTTP是用于从万维网(www)服务器传输超文本到本地浏览器的超文本传输协议,所有的HTML文件(网页文件)都是遵循这个标准进行传输的并且HTTP是一种分布式、通用的、无状态的面向应用层的协议(C/S架构,也支持B/S)HTTP的分布式特性分布式指的是一个网站上的内容分布到多个服务器上HTTP的无状态性web服务器不会针对用户的访问过程做记录。
一文让你轻松掌握 HTTPS
m0_59598029的博客
02-25 4035
一、HTTPS 简介 >> 1.1 什么是 HTTPS > 1.2 为什么要用 HTTPS
JAVA调用HTTPS双向认证API
happyzhang的Blog
11-23 1万+
最近稍微清闲,然后稍微研究一下关于HTTPSSSL的相关知识,算是一些随手笔记,对自己学习的记录。 import java.io.InputStream; import java.net.URL; import java.net.URLConnection; import javax.net.ssl.HostnameVerifier; import javax.net.ssl.HttpsUR
Java实现通过证书访问Https请求
热门推荐
王绍桦
01-29 3万+
创建证书管理器类 import java.io.FileInputStream; import java.security.KeyStore; import java.security.cert.CertificateException; import java.security.cert.X509Certificate; import javax.net.ssl.TrustManager;...
Java实现HTTPS双向认证全解析:生成与应用过程
4. 代码实现:在发送POST请求时,正确配置HttpClient实例,设置适当的SSL配置,如TrustManager和KeyManager,以便在连接时进行双向验证。 5. 验证流程:客户端首先尝试连接服务器,服务器验证客户端证书;然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值