Tomcat里配置CRL

最新推荐文章于 2022-10-08 18:10:00 发布
最新推荐文章于 2022-10-08 18:10:00 发布
阅读量883 收藏
点赞数
分类专栏: OpenSSL
本文介绍在Tomcat中配置HTTPS双向认证(验证客户端)的情况下,如何验证CRL。
 
我们可以按照文章 《如何用Tomcat和Openssl构建HTTPS双向认证环境(HTTPS客户端认证)》http://blog.csdn.net/jianxia007/article/details/24806929 里的方法在Tomcat里构建一个HTTPS验证客户端证书(Usbkey或文件数字证书)的环境。但是这样配置后,Tomcat只会根据CA的证书来验证客户端证书是否合法(是否是CA签过名的),但是没有检查该客户端证书是否已经被吊销。所以必须进一步检查CRL(Certification Revocation List)即证书吊销列表。
 

CRL它记录了CA吊销的未过期的证书(可能是因为用户的私钥被泄露了等原因)。

Tomcat 5.5.17版本在HTTPS的<Connector>配置里加了一个crlFile选项,来指向一个CRL文件。


<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

               maxThreads="150" scheme="https" secure="true"

               clientAuth="true" sslProtocol="TLS"

        keystoreFile="conf/tomcat.jks" keystorePass="123456" keystoreType="JKS"

        truststoreFile="conf/truststore.jks" truststorePass="123456" truststoreType="JKS"

        crlFile ="conf/testca.crl"

     />


但是个人认为这种方式不好,因为若Tomcat在底层帮你完成了CRL的检查,并直接拒绝了客户端(浏览器)的请求,你的应用程序(webapp)并不知道,这样的坏处是:

(1)用户在被拒绝时可能得到一个不友好的错误提示页面(当然和你的页面风格完全不同)。
 (2)当然你也无法引导用户进入另一个帮助页面。
 (3)应用层无法记录这种非法的访问。
 
所以我建议我们还是通过java.security.cert.X509CRL这个Java类库自带的类来由应用程序自己判断。而且这个工作也非常简单:
(1)获取CRL文件:
一般CA会在其网站上定时发布CRL文件(标准的X509格式),我们可以定期下载(用HTTP/FTP)到我们的Web服务器。当然这个过程既可以人工完成也可以写一个程序周期去取。
 
(2)在Tomcat的应用里装在CRL:
你可以定时重读一下CRL文件(或每次下载后出发重读一下CRL文件),装在CRL文件到X509CRL对象方法如下:
import  java.security.cert. * ;
 
 
public  X509CRL loadX509CRL(String crlFilePath) {
   InputStream inStream 
   InputStream inStream  =   new  FileInputStream(crlFilePath);
   CertificateFactory cf 
   CertificateFactory cf  =  CertificateFactory.getInstance( " X.509 " );
   X509CRL crl 
   X509CRL crl  =  (X509CRL)cf.generateCRL(inStream);
   inStream.close();
   
   inStream.close();
    return  crl;
}
}
注:简单期间本文不对Exception进行处理。
 
 
(3)检查客户端证书是否被吊销:
当HTTPS验证客户端成功后,进入我们的webapp时(servlet/jsp),我们可以从请求中得到用户的证书:
java.security.cert.X509Certificate cert  =   null ;
java.security.cert.X509Certificate[] certs 
java.security.cert.X509Certificate[] certs  =   null ;
certs
certs = (X509Certificate[])request.getAttribute( " javax.servlet.request.X509Certificate " );
if  (certs.length  >   0 ) {
    cert 
    cert  =  certs[ 0 ];
}
}
注:可以参考 《如何用Tomcat和Openssl构建HTTPS双向认证环境(HTTPS客户端认证)》 里的那个显示客户端证书的jsp。
  
 接下来验证证书是否被吊销的方法非常简单,只要把客户证书传入X509CRL的isRevoked函数就行:
boolean  result  =  crl.isRevoked(cert);
如果返回true,就说明该证书已被吊销,你就可以引导客户端浏览器进入显示错误提示的页面。
 

测试方法:你可以参考《利用openssl创建一个简单的CA》http://blog.csdn.net/jianxia007/article/details/24805941里的方法,自己生成客户端证书,然后吊销证书并生成CRL文件来进行测试。

转自:http://blog.csdn.net/jasonhwang/article/details/2413310

jianxia007
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat跨域配置
01-09
前端请求服务器的资源出现跨域的时候,一般是通过配置服务器的跨域来解决的,所以在此处我们配置服务器中的tomcat跨域就可以,具体操作如下: 1、通过如下地址 链接:...
opensll 证书及CRL生成
qq_44401850的博客
07-12 1075
用openssl生成CRLCRL解析,且验证证书吊销列表
对证书的CRL进行验证
smmi的专栏
11-03 2562
package com.example.certificate; import java.io.FileInputStream; import java.security.cert.CertificateFactory; import java.security.cert.X509CRL; import java.security.cert.X509Certificate; /*...
TOMCAT配置CRL
hulonglong的专栏
08-23 740
<br />本文介绍在Tomcat配置HTTPS双向认证(验证客户端)的情况下,如何验证CRL。<br /> <br />我们可以按照文章《如何用Tomcat和Openssl构建HTTPS双向认证环境(HTTPS客户端认证)》(http://blog.csdn.net/jasonhwang/archive/2008/04/29/2344768.aspx)的方法在Tomcat构建一个HTTPS验证客户端证书(Usbkey或文件数字证书)的环境。但是这样配置后,Tomcat只会根据CA的证书来验证客户端证
使用openssl配置tomcat ssl证书
iteye_17677的博客
02-19 807
      Tomcat既可以作为独立的Servlet容器,也可以作为其他HTTP服务器附加的Servlet容器。如果Tomcat在非独立模式下工作,通常不必配置SSL,由它从属的HTTP服务器来实现和客户的SSL通信。Tomcat和HTTP服务器之间的通信无须采用加密机制,HTTP服务器将解密后的数据传给Tomcat,并把Tomcat发来的数据加密后传给客户。     如果Tomcat作为...
tomcat常用配置信息详解
03-22
此材料是本人学习和开发过程中的一些资料总结,主要是详细总结来了Tomcat服务配置的一些问题。适合Java开发面试者以及Web项目开发初学者学习。
tomcat及其配置文件
03-12
tomcat jdk 和tomat的一些配置文件包括server.xml和linux使用service启动tomcat
tomcat8配置
09-04
鉴于现在myeclipse10默认配置不上tomcat 8 问题,需要启动运行配置,参看文档。关于tomcat8配置,主要介绍关于tomcat8的配置文档。
tomcat配置文件详解
07-23
资源名称:tomcat配置文件详解   资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
使用Tomcat 9验证Https单向认证和双向认证
ONS_cukuyo的博客
01-26 4426
一、生成根证书颁发机构的密钥库 keytool -genkeypair -v -keystore root.p12 -storetype pkcs12 -storepass 123456 -alias 我是根证书 -keyalg RSA -keysize 2048 -validity 36500 二、生成服务器密钥库 keytool -genkeypa
java 解析证书吊销列表 crl
qq_44704799的博客
10-08 847
java 解析证书吊销列表 crl;CertificateFactory;CertificateFactory.generateCRL
证书吊销列表(CRL)介绍
热门推荐
孩儿学堂
04-25 2万+
一、证书吊销列表(CRL) 证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。 CRL 文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。证书吊销列表最短的有效期为一个小时,一般为 1 天,甚至一个月不等,
什么是证书吊销列表(CRL)? 吊销列表起什么作用 ?
weixin_33720956的博客
01-23 998
答:证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。 CRL 文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。证书吊销列表最短的有效期为一个小时,一般为 1 天,甚至一个月不等,由各个...
java解析CRL文件
一路奔跑94的博客
10-11 962
import java.io.FileInputStream; import java.io.FileNotFoundException; import java.security.cert.CRLException; import java.security.cert.CertificateException; import java.security.cert.CertificateFac...
git clone server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile
祝 枫
07-02 1万+
git clone server certificate verification failed. CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile今天在运行git clone命令时遇到如下错误:在here 看到之前有人遇到过同样的问题,现将解决思路提供如下。主要的问题是你的linux系统并不信任你所要git的网站,所以通不过系统安全认证。解决方案
CAfile:/etc/ssl/certs/ca-certificates.crt CRLfile:none
Anteoy的博客
11-11 4139
问题描述 CAfile:/etc/ssl/certs/ca-certificates.crt CRLfile:none ubuntu 16.04 git https 解决方案 export GIT_SSL_NO_VERIFY = 1 sudo update-ca-certificates echo -n | openssl s_client -showcerts -connect github.co
运行apt-get update, 提示CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none
zhengxinjian_2009的专栏
09-08 7561
OS: ubuntu 16.04.1 问题: 运行:apt-get update 提示错误:***CAfile: /etc/ssl/certs/ca-certificates.crt CRLfile: none 解决方法: https://stackoverflow.com/questions/29319538/issue-with-my-ca-certificates-crt/2931...
证书吊销列表CRL的使用
果果他爹的学习笔记
07-15 4316
吊销证书命令:openssl ca -revoke xxx.pem生成吊销证书列表:openssl ca -gencrl -out  xxx.crl 1)apache 中的使用设置/usr/local/etc/apache22/Include/http-ssl.confSSLCARevocationFile "..../xxx.crl" 这样当持有作废的客户端证书访问的
idea配置tomcat
最新发布
09-27
在IDEA中配置Tomcat的步骤如下: 1. 进入Tomcat官网(https://tomcat.apache.org/)并下载需要的Tomcat版本。 2. 打开IDEA,点击顶部菜单栏的"File",然后选择"Settings"。 3. 在设置窗口中,选择"Build, Execution, Deployment",然后选择"Application Servers"。 4. 点击"+"按钮,选择"Tomcat Server"。 5. 在弹出的对话框中,选择Tomcat服务器的安装目录,然后点击"OK"。 6. 在配置窗口中,可以设置Tomcat服务器的端口号、部署路径等,根据需要进行配置。 7. 确认配置完成后,点击"OK"保存配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值