tomcat和openSSL构建https

http://hi.baidu.com/glaivelee/blog/item/b3f7f795a5d37551d0135e0b.html



tomcat和openSSL构建https双向认证步骤详解
2011-08-10 10:56

利用Tomcat的HTTPS功能,和一个自己创建的CA,来构建WEB服务器证书和个人数字证书,最终建成一个HTTPS双向认证环境(可以用于测试目的)。本文构建HTTPS双向认证的业务流程大致如下:

1. 创建WEB服务器公钥密钥,并生成服务器证书请求。

2. 利用自建的CA,根据服务器证书请求为服务器签发服务器证书。然后把服务器证书导回WEB服务器中。

3. 利用openssl生成客户端(IE)使用的个人数字证书,也由同样的CA签发个人证书。

4. 将个人数字证书(PKCS12格式,包含密钥)导入到浏览器(IE/Firefox)后,就可以进行HTTPS测试了。

 

一. 选择HTTPS WEB服务器

这里我们选择了Tomcat。当然还有其它方法,如Apache+Tomcat,让Apache配置成HTTPS模式,而Tomcat只做HTTP业务处理,这样有利于提高性能,但本文只建造一个简单的HTTPS测试环境,只用Tomcat自带的HTTPS功能。(当然,我以后会考虑研究一下Apache+Tomcat模式,到时再和大家一起分享经验)

 

二. 创建一个自己的CA

创建一个自己的CA来模拟HTTPS构建环境(利用CA签发证书),不仅有利于了解PKI概念,而且有利于了解真正应用的业务流程。关于如何创建一个简单的测试用的CA,详见《利用openssl创建一个简单CA》.

 

另外,如果你真的觉得建一个CA比较麻烦,且只使用几个个人数字证书的话,当然也可以不建CA,下面章节也会提到不用CA如何构建双向认证。

 

三. 创建服务器公钥密钥及颁发服务器证书

实际上有两种方法生成服务器证书,一种是用JDK带的keytool,另一种是用openssl命令生成pkcs12格式的证书。个人更喜欢第二种,因为用openssl生成的pkcs12格式服务器证书可以导出明文的服务器密钥,便于用wireshark(ethereal的新名字)查看HTTPS里被加密过的HTTP消息。keytool生成的keystore也有办法导出密钥,但还要编程去弄,太麻烦了。

 

方法一,用keytool创建服务器公钥密钥并用CA签发服务器证书:

keytool是JDK自带的工具程序,确保keytool已在PATH路径里(或在以下命令里指明keytool的全路径,如$JAVA_HOME/bin/keytool)。

 

1. 用keytool生成服务器公钥密钥:

在TOMCAT的conf目录里执行以下命令(假设conf目录路径为$TOMCAT_HOME/conf/):

keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -genkey -keyalg RSA -dname "CN=servername, OU=servers, O=ABCom"

 

注:其中DN(证书的唯一取别名)里的CN最好是服务器的域名地址或IP地址(因为浏览器在发现服务器证书的CN与访问服务器的域名或IP不符时,会报一个警告,不过这个问题不大)。

 

2. 生成服务器证书请求,并让测试CA签发服务器证书

实际上本步骤也可以省略,唯一不好的结果是用户在开始访问服务器HTTPS服务时,会跳一个窗口警告用户,用户可以在该窗口里看到服务器证书是一个自签名的证书(用服务器私钥自己给自己签发的证书,keytool生成公钥密钥时自动生成这种证书)。但只要用户选择“信任该证书”,也照样可以与服务器建立HTTPS连接。

但正规的HTTPS服务器,还是应该申请一个服务器证书比较好。

 

2.1 生成服务器证书请求:

keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -certreq -file serverreq.pem

 

以下命令可以查看一下证书请求的内容:

openssl req -in serverreq.pem -text -noout

 

2.2 用测试CA签署服务器证书:

把serverreq.pem拷贝到CA的某目录下,我们就可以按照《利用openssl创建一个简单的CA》里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了:

openssl ca -in serverreq.pem -out servercert.pem -config "$HOME/testca/conf/testca.conf"

执行过程中需要输入CA私钥的保护密码。

 

2.3 把服务器证书导回到服务器的keystore里:

前面命令里生成的servercert.pem即为服务器证书。从CA处把该文件及CA的证书($HOME/testca/cacert.pem)拿来,一起放到Tomcat的conf目录里。

另外导入前,还有一个工作需要做,需要手工编辑servercert.pem证书文件,把‘-----BEGIN CERTIFICATE-----’该行前的所有内容都删掉,因为keytool不认得这些说明性的内容。

导入前也可以执行命令查看一下证书内容:

keytool -printcert -file servercert.pem

 

导入服务器证书:

先导入CA的证书:

keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem

 

再导入服务器证书:

keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -import -file servercert.pem

 

导入后可以用以下命令查看一下keystore里的内容:

keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -list -v

 

3. 创建服务器信任的客户端CA证书库:

用keytool创建一个证书库,里面存放服务器信任的CA证书,也就是只有这些CA签发的客户端个人证书才被服务器信任,才能通过HTTPS访问服务器。这就是“HTTPS服务器验证客户端证书”的关键配置。注:如果只是测试目的,为了简单期间,也可以直接把客户端未经CA签发的自签名证书直接导入信任证书库里。

 

这里,我们假设客户端个人证书(后续章节介绍如何生成客户端个人证书)也是由测试CA签发的,所以我们要把cacert.pem证书导入信任证书库:

keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem

 

可以用以下命令查看信任证书库内容:

keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v

 

4. 配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书):

修改tomcat的conf目录里的server.xml文件($TOMCAT_HOME/conf/server.xml),找到类似下面内容的配置处,添加配置如下:

    <Connector port="8443"

               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

               enableLookups="false" disableUploadTimeout="true"

               acceptCount="100" debug="0" scheme="https" secure="true"

               clientAuth="true" sslProtocol="TLS"

               keystoreFile="conf/tomcat.jks" keystorePass="222222" keystoreType="JKS" 

      truststoreFile="conf/truststore.jks" truststorePass="222222" truststoreType="JKS" />

 

(题外话:其实HTTPS单向和双向认证配置的唯一区别是,把clientAuth改为false,去掉truststore的相关配置,就是单向HTTPS认证了,单向HTTPS用的可能更多,它主要在浏览器与f服务器交互的HTTP需要加密,而不需要验证客户端证书时使用。)

 

经以上配置后,重启tomcat,服务器就支持HTTPS双向认证了。

 

 

方法二,用openssl创建服务器公钥密钥并用CA签发服务器证书:

前面已经提到过,这种方式的好处是有利于抓包查看服务器与浏览器HTTPS交互里的HTTP信息。

其实,这种方法与《利用openssl创建一个简单的CA》里提到的制作个人数字证书方法很类似(请参考《利用openssl创建一个简单的CA》的“三. 自己生成公钥密钥,并用测试CA签发数字证书”章节)。

 

1. 制作服务器证书(最终形成一个pkcs12文件,包含服务器密钥、证书和CA的证书)

假设我们把服务器相关的东西生成到CA的$HOME/testca/test/server目录里:

mkdir -p "$HOME/testca/test/server"

cd "$HOME/testca/test/server"

 

2.1 创建服务器公钥密钥,并同时生成一个服务器证书请求:

openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem -outform PEM \

            -subj "/O=ABCom/OU=servers/CN=servername"

执行命令过程中输入密钥保护密码222222。

 

执行后可以用以下命令查看请求内容:

openssl req -in serverreq.pem -text -noout

 

2.2 用测试CA签署服务器证书:

把serverreq.pem拷贝到CA的某目录下,我们就可以按照《利用openssl创建一个简单的CA》里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了:

openssl ca -in serverreq.pem -out servercert.pem -config "$HOME/testca/conf/testca.conf"

执行过程中需要输入CA私钥的保护密码。

 

执行完后可以用以下命令查看证书内容:

openssl x509 -in servercert.pem -text -noout

 

2.3 制作服务器pkcs12文件(包含服务器密钥、证书和CA的证书)

openssl pkcs12 -export -in servercert.pem -inkey serverkey.pem \

                        -out tomcat.p12 -name tomcat -CAfile "$HOME/testca/cacert.pem" \

                        -caname root -chain

执行过程中要输入服务器密钥的保护密码(serverkey.pem)和新生成的tomcat.p12的保护密码,我们都输入222222。

创建完成后,把pkcs12文件拷贝到tomcat的conf目录下。

 

3. 创建服务器信任的客户端CA证书库:

同方法一的对应章节,这里,我们假设客户端个人证书(后续章节介绍如何生成客户端个人证书)也是由测试CA签发的,所以我们要把cacert.pem证书导入信任证书库:

keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem

 

可以用以下命令查看信任证书库内容:

keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v

 

4. 配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书):

修改tomcat的conf目录里的server.xml文件($TOMCAT_HOME/conf/server.xml),找到类似下面内容的配置处,添加配置如下:

   <Connector port="8443"

               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

               enableLookups="false" disableUploadTimeout="true"

               acceptCount="100" debug="0" scheme="https" secure="true"

               clientAuth="true" sslProtocol="TLS"

               keystoreFile="conf/tomcat.p12" keystorePass="222222" keystoreType="PKCS12" 

               truststoreFile="conf/truststore.jks" truststorePass="222222" truststoreType="JKS" />

 

注意:其中keystore的keystoreType与方法一的配置不同。经以上配置后,重启tomcat,服务器就支持HTTPS双向认证了。

四. 创建用于客户端(浏览器)测试的个人数字证书(pkcs12格式)

完全按照《利用openssl创建一个简单的CA》里提到的制作个人数字证书方法来进行,请参考《利用openssl创建一个简单的CA》的“三. 自己生成公钥密钥,并用测试CA签发数字证书”章节。

 

1. 创建个人密钥和证书请求(证书请求里包含了公钥)

创建$HOME/testuser1目录并执行命令:(证书等都放到这个目录)

mkdir $HOME/testuser1

cd $HOME/testuser1

openssl req -newkey rsa:1024 -keyout testkey.pem -keyform PEM -out testreq.pem -outform PEM -subj "/O=TestCom/OU=TestOU/CN=testuser1" 

执行过程中需要输入私钥的保护密码,假设我们输入密码: 222222

 

执行完后,testkey.pem即为用户的密钥,而testreq.pem即为证书请求。

可以用openssl req -in testreq.pem -text -noout查看证书请求的内容。

 

2. 用CA为testuser1签发个人证书

同样还在$HOME/testuser1目录下执行命令:

openssl ca -in testreq.pem -out testcert.pem -config "$HOME/testca/conf/testca.conf"

执行过程中需要输入CA的密钥保护密码(刚才设置的888888),并且最后询问你是否要给该用户签发证书时要选y。

执行完后,testcert.pem即为证书,

可以用命令openssl x509 -in testcert.pem -text -noout查看证书内容。

 

3. 制作PKCS12文件(个人数字证书)

我们制作的这个PKCS#12文件将包含密钥、证书和颁发该证书的CA证书。

把前几步生成的密钥和证书制作成一个pkcs12文件的方法执行命令:

openssl pkcs12 -export -in testcert.pem -inkey testkey.pem -out testuser1.p12 -name testuser1 -chain -CAfile "$HOME/testca/cacert.pem"

执行过程中需要输入保护密钥的密码(222222),以及新的保护pkcs12文件的密码(222222)。

 

执行完后,若要查看testuser1.p12的内容可以用命令openssl pkcs12 -in testuser1.p12

该testuser1.p12即为pkcs12文件。你可以直接拷贝到windows下,作为个人数字证书,双击导入IE后就可以使用了。

 

五. 用一个简单webapp来测试HTTPS

服务器证书和个人证书都准备好了,我们可以写一个简单的webapp,里面只有一个jsp,用于查看https客户端验证是否起效了。

 

1. 创建webapp用于测试https:

在$TOMCAT_HOME/webapps/里创建一个目录testhttps,并在testhttps目录里创建WEB-INF目录,并在该目录里创建web.xml文件如下:

文件:$TOMCAT_HOME/webapps/WEB-INF/web.xml

<?xml version="1.0" encoding="ISO-8859-1"?>

<web-app xmlns="http://java.sun.com/xml/ns/j2ee"

    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://java.sun.com/xml/ns/j2eehttp://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"

    version="2.4">

<display-name>Test HTTPS App</display-name>

</web-app>

 

2. 创建一个显示客户端证书信息的JSP:

在testhttps目录创建文件seecert.jsp

文件:$TOMCAT_HOME/webapps/WEB-INF/seecert.jsp

<%@ page import="java.security.cert.X509Certificate" contentType="text/html; charset=GB2312" %>

<pre>

<%

    java.security.cert.X509Certificate[] certs=null;

    try{

            certs=(X509Certificate[])request.getAttribute("javax.servlet.request.X509Certificate");

 

                if (certs == null) {

                        out.println("No certificates");

                } else if (certs.length == 0) {

                        out.println("Certificates length is 0");

                } else {

                        java.security.cert.X509Certificate cert = certs[0];

                        String dn = cert.getSubjectX500Principal().toString();

                        out.println("SubjectDN: " + dn);

                        out.println();

                        out.println("------------------certification detail--------------------");

                        out.println(cert);

                        out.println("----------------------------------------------------------");

                }

    } catch(Exception e){

                out.println("Exception=" + e.getMessage());

    }

%>

</pre>

 

3. 测试HTTPS并查看客户端证书信息:

访问URL:https://<tomcat>:8443/testhttps/seecert.jsp

在用浏览器访问该URL时,浏览器可能会跳出窗口让你选择用哪个客户端个人证书。

页面打开后,你将看到客户端证书的信息。

 

六. 使用wireshark(ethereal的新名称)查看HTTPS里加密的HTTP消息:

用wireshark抓包后,你可以看到HTTPS服务器与浏览器之间的HTTPS协商过程,但是HTTPS成功建立后,后续消息是加密的,如何查看加密的HTTP消息呢?你需要借助服务器的密钥(私钥)明文。

假设需要从上面提到的openssl生成的服务器证书tomcat.p12文件里导出密钥明文,生成密钥明文文件方法:

openssl pkcs12 -in tomcat.p12 -out clearserverkey.pem -nodes

然后在wireshark的协议定义里找到SSL,并在“RSA keys list”里配置如下内容:

    <server_ip>,8443,http,<path_to_clearserverkey.pem>

 

其中:

   <server_ip>——为HTTPS服务器的IP;

   8443——为HTTPS(SSL)的端口;

   http——表示SSL里加密的是HTTP协议;

   <path_to_clearserverkey.pem>——指上一步生成的clearserverkey.pem文件的本地路径。

这样,你就能看到wireshark里的SSL协议被解密,且里面的HTTP消息也看到了。


阅读更多
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭