OpenSSL创建客户端、服务器证书,ios双向https认证

最新推荐文章于 2024-09-04 16:25:01 发布
最新推荐文章于 2024-09-04 16:25:01 发布
阅读量1.3w 收藏 6
点赞数
分类专栏: openssl IOS https
IOS 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
openssl
1 篇文章 0 订阅
订阅专栏
https
1 篇文章 0 订阅
订阅专栏

成功配出了各种证书的一篇好文章。

转自:http://blog.csdn.net/jerryvon/article/details/8548802?reload


一.生成证书

  • 生成CA证书。目前不使用第三方权威机构的CA来认证,自己充当CA的角色。

1.创建私钥:
openssl genrsa -out root/root-key.pem 1024 
2.创建证书请求:
openssl req -new -out root/root-req.csr -key root/root-key.pem
3.自签署证书:
openssl x509 -req -in root/root-req.csr -out root/root-cert.pem -signkey root/root-key.pem -days 3650 
4.将证书导出成浏览器支持的.p12格式:
openssl pkcs12 -export -clcerts -in root/root-cert.pem -inkey root/root-key.pem -out root/root.p12

  • 生成server证书

1.创建私钥:
openssl genrsa -out server/server-key.pem 1024 
2.创建证书请求:
openssl req -new -out server/server-req.csr -key server/server-key.pem 
3.自签署证书:
openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA root/root-cert.pem -CAkey root/root-key.pem -CAcreateserial -days 3650 
4.将证书导出成浏览器支持的.p12格式:
openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12

  • 生成client证书

1.创建私钥:
openssl genrsa -out client/client-key.pem 1024 
2.创建证书请求:
openssl req -new -out client/client-req.csr -key client/client-key.pem 
3.自签署证书:
openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA root/root-cert.pem -CAkey root/root-key.pem -CAcreateserial -days 3650 
4.将证书导出成浏览器支持的.p12格式:
openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12

  • 根据root证书生成jks文件
进入root目录

keytool -import -v -trustcacerts -storepass password -alias root -file root-cert.pem -keystore root.jks


Tomcat 配置

 <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
        maxThreads="150" scheme="https" schemeecure="true"
        keystoreType="PKCS12" keystoreFile="/Users/fengchao/cer/server/server.p12" keystorePass="1234"
        truststoreType="JKS" truststoreFile="/Users/fengchao/cer/root/root.jks" truststorePass="password" 
        clientAuth="false" sslProtocol="TLS" />

注意参数大小写,和路径的写法,这个是mac配置

主要参数是SSLEnable,是否启用HTTPS,如果true,则用户用浏览器访问8443时,会提示要在浏览器里添加证书,因为我们是自签名,属于非认证签名,所以会提示,如果是第三方认证则的SSL证书,则浏览器默认通过,可以直接安全访问。iOS客户端如果将认真安全跳过,则可以直接访问,如果开启则不能访问。

clientAuth是否启用客户端验证,也可以说是否是双向认证,浏览器访问时会寻找系统登陆中的keychain,如果你安装过对应的client,则会出现选择框让用户选择,选择后提交则会正常显示。iOS则也类似,需要读取本地证书,然后带证书提交。

二.iOS客户端 https单向验证

[html]  view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. NSURL *url = [NSURL URLWithString:@"https://localhost:8443/deploy/index.html"];  
  2. ASIFormDataRequest *request = [ASIFormDataRequest requestWithURL:url];  
  3. [request setValidatesSecureCertificate:YES];//set to NO if you use the self-signed certificate  
如果这个时候你开启验证,则会返回如下错误

A connection failure occurred: SSL problem (Possible causes may include a bad/expired/self-signed certificate, clock set to wrong date)

因为我们的证书是自签名,而苹果已经明确提示,你的证书可能是自签名,所以导致失败。

则个时候如果访问其他HTTPS网站则不会报错,所以这个验证只有在正式的证书才有效果。这个也很合理,如果你的客户端自签名都能通过,这样没有安全可言。除非你让用户自己选择是否信任。


三.iOS客户端  https双向验证

[html]  view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1.       
  2.      SecIdentityRef identity = NULL;  
  3.     SecTrustRef trust = NULL;  
  4. //    SecCertificateRef myReturnedCertificate = NULL;  
  5.      NSData *PKCS12Data = [NSData dataWithContentsOfFile:[[NSBundle mainBundle] pathForResource:@"client" ofType:@"p12"]];  
  6. //    NSLog(@"%@",[[NSBundle mainBundle] pathForResource:@"client" ofType:@"p12"]);  
  7.         [ASIHTTPRequestDemo extractIdentity:&identity andTrust:&trust fromPKCS12Data:PKCS12Data];  
  8.        [request setClientCertificateIdentity:identity];  
  9. //    status = SecIdentityCopyCertificate (identity,&myReturnedCertificate);   
  10. //        [request setClientCertificates:[NSArray arrayWithObject:(id)PKCS12Data]];  
  11.   
  12.   
  13.     [request startSynchronous];  
  14.     NSError *error = [request error];  
  15.   
  16.   
  17.     if (!error) {  
  18.             //do something  
  19.       }  
  20. ......  
  21. }  


思路就是读取p12文件,然后将证书内容和证书密钥导出,然后将证书塞入request,随后startSynchronous

由于没有正式证书,目前没有通过。所以如果有正式证书后再验证。或者已经验证过的朋友请留言交流下,在下感激不尽。

下面是提取P12信息代码

[html]  view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. + (BOOL)extractIdentity:(SecIdentityRef *)outIdentity andTrust:(SecTrustRef*)outTrust fromPKCS12Data:(NSData *)inPKCS12Data  
  2. {  
  3.     OSStatus securityError = errSecSuccess;  
  4.       
  5. //  NSDictionary *optionsDictionary = [NSDictionary dictionaryWithObject:@"" forKey:(id)kSecImportExportPassphrase];  
  6.       
  7.     CFStringRef password = CFSTR("1234"); //证书密码  
  8.     const void *keys[] =   { kSecImportExportPassphrase };  
  9.     const void *values[] = { password };  
  10.       
  11.     CFDictionaryRef optionsDictionary = CFDictionaryCreate(NULL, keys,values, 1,NULL, NULL);  
  12.     CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);  
  13.     securityError = SecPKCS12Import((CFDataRef)inPKCS12Data,(CFDictionaryRef)optionsDictionary,&items);  
  14.       
  15.     if (securityError == 0) {  
  16.         CFDictionaryRef myIdentityAndTrust = CFArrayGetValueAtIndex (items, 0);  
  17.         const void *tempIdentity = NULL;  
  18.         tempIdentity = CFDictionaryGetValue (myIdentityAndTrust, kSecImportItemIdentity);  
  19.         *outIdentity = (SecIdentityRef)tempIdentity;  
  20.         const void *tempTrust = NULL;  
  21.         tempTrust = CFDictionaryGetValue (myIdentityAndTrust, kSecImportItemTrust);  
  22.         *outTrust = (SecTrustRef)tempTrust;  
  23.     } else {  
  24.         NSLog(@"Failed with error code %d",(int)securityError);  
  25.         return NO;  
  26.     }  
  27.     return YES;  
  28. }  

四.RSA服务端加密,客户端解密
根据私钥和csr导出公钥

openssl x509 -req -in root-req.csr -out root_public_key.der -outform der -signkey root-key.pem -days 3650

如果重新来制作密钥则可以执行

openssl req -x509 -out public_key.der -outform der -new -newkey rsa:1024 -keyout private_key.pem -days 3650

这个语句等于3个作用

1)创建私钥

openssl genrsa -out private_key.pem 1024

2)创建证书请求(按照提示输入信息)

openssl req -new -out cert.csr -key private_key.pem

3)自签署根证书

openssl x509 -req -in cert.csr -out public_key.der -outform der -signkey private_key.pem -days 3650

客户端代码主要如下

[html]  view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. NSString *pkcsPath = [[NSBundle mainBundle] pathForResource:@"root" ofType:@"p12"];  
  2. // 下面的与上面的一样  
  3.    //   NSString *pkcsPath = [[NSBundle mainBundle] pathForResource:@"pkcs-daniate" ofType:@"pfx"];  
  4. NSString *certPath = [[NSBundle mainBundle] pathForResource:@"server_public_key" ofType:@"der"];  
  5.   
  6. Security *security = [Security sharedSecurity];  
  7.   
  8. OSStatus status = -1;  
  9.   
  10. status = [security extractEveryThingFromPKCS12File:pkcsPath passphrase:@"1234"];  
  11. NSLog(@"status = %ld", status);  
  12. // 取得公钥  
  13. status = [security extractPublicKeyFromCertificateFile:certPath];  
  14. NSLog(@"status = %ld", status);  
  15. // 苹果官方文档中只说了短数据加密,但也提到了长数据的分段加密  
  16. // 短数据  
  17.     NSString *plainText = @"This is plain text~中华人民共和国~";  
  18. NSData *plainData = [plainText dataUsingEncoding:NSUTF8StringEncoding];  
  19. NSData *encrypted = [security encryptWithPublicKey:plainData];  
  20. NSData *decrypted = [security decryptWithPrivateKey:encrypted];  
  21.  //  NSString *encryptedText = [[NSString alloc] initWithData:encrypted encoding:NSUTF8StringEncoding];  
  22. NSString *decryptedText = [[NSString alloc] initWithData:decrypted encoding:NSUTF8StringEncoding];  
  23.      
  24.    //   NSLog(@"plainData: %p", plainData);  
  25.    //   NSLog(@"encrypted: %p", encrypted);  
  26.    //   NSLog(@"decrypted: %p", decrypted);  
  27.    NSLog(@"encrypted: %@",encrypted);  
  28. NSLog(@"decrypted text: %@", decryptedText);  
p12文件包含私密,der则是包含公钥,分别提取并且利用其加密解密,从而达到验证的目的。








参考:1.http://since2006.com/blog/39/using-tomcat-ssl

kamouswjw
关注
专栏目录
iOS https证书双向认证的实现机制
Z1591090的博客
01-19 6003
文章目录原理单向认证流程双向认证流程证书生成生成自签名根证书生成自签名服务器证书生成自签名客户端证书AFNetworking对于证书的校验机制 原理 双向认证,顾名思义,客户端服务器端都需要验证对方的身份,在建立Https连接的过程中,握手的流程比单向认证多了几步。 单向认证的过程,客户端服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。 双向通信流程,客户端除了需要从服务器端下载...
iOS https 自制证书 单向 双向 验证,以及服务器(Nginx)配置
doubleface999的博客
03-10 2182
一、http和https的区别与原理 介绍原理的博文太多了,这里列出一篇详细的: IOS 使用自签名证书开发HTTPS文件传输 二、证书的类型和自制证书生成 1.什么是数字证书(Certificate) 在HTTPS的传输过程中,有一个非常关键的角色——数字证书,那什么是数字证书?又有什么作用呢? 所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点: 使用数字证书能够.
用tomcat和openSSL构建https双向认证
07-28
这是我实战的笔记,全程直播。 #### Tomcat和Openssl构建HTTPS双向认证 ###### 选择HTTPS WEB服务器 Linux下安装OpenSSL 一、创建服务器证书客户端证书以及CA 1、生成--服务器端--私钥和证书请求 2、生成--客户端-----私钥和证书请求 3、生成CA 4、通过CA签发证书 5、生成pem格式证书 6、生成pkcs12格式证书 二、tomcat实现双向认证 1、创建服务器信任的CA证书库 2、配置Tomcat支持HTTPS双向认证服务器认证客户端证书
Tomcat配置https单向双向认证iOS加密解密验证,iOS访问HTTPS
热门推荐
01-28 1万+
一.生成证书 生成CA证书。目前不使用第三方权威机构的CA来认证,自己充当CA的角色。 1.创建私钥: openssl genrsa -out root/root-key.pem 1024  2.创建证书请求: openssl req -new -out root/root-req.csr -key root/root-key.pem 3.自签署证书openssl
openssl双向认证自签名证书生成
最新发布
qqk808的博客
09-04 503
openssl自签名证书生成
用Tomcat服务器配置https双向认证过程实战
weixin_30872789的博客
01-23 479
什么是https? 百度百科足够解释它:http://baike.baidu.com/view/14121.htm 工具:keytool (Windows下路径:%JAVA_HOME%/bin/keytool.exe) 环境:Windows8.1企业版、Tomcat-7.0.27、JDK1.6、IE11、Chrome 一、为服务器生成证书 C:\Windows...
使用openssl向苹果申请证书
T_long的专栏
12-10 438
Keychain的证书助手可以很方便的申请开发证书,但是它是GUI,openssl也可以做到。
tomcat 使用httpsIOS 请求https URL
修也
10-11 1341
jdk的keytool为服务器tomcat生成keystore,然后得到该keystore的证书cer,将该cer发给ios客户端,让其开发者使用证书,tomcat配置好keystore后,接下来的https的链接就能顺利的request和response数据。 注:这是自签名证书,不受ios信任,需要开发者,合理绕过程序https的ca机制。具体问题解决方法,搜一搜。此次问题全有ios缺少to
apache+openssl设置https单向认证双向认证以及反向代理
朝阳似火的博客
12-09 5232
闲话少说,下面介绍企业在项目开发过程中需要使用自己申请的域名通过https(单向或双向认证)访问应用服务器的实现方式。 1、域名申请,这个应该it人都知道。自己上网申请免费的,或者付费的域名。申请域名过程中,绑定自己企业的对外ip地址。 2、部署apache和openssl前置linux服务器。稍后详细说明 3、配置https单向和双向认证服务 4、配置反向代理服务 下面是对部署
linux下Tomcat+OpenSSL配置单向&双向认证(自制证书)
White_Lee的专栏
03-22 1106
背景 由于ios将在2017年1月1日起强制实施ATS安全策略,所有通讯必须使用https传输,本文只针对自制证书,但目前尚不确定自制证书是否能通过appstore审核。 1、必须支持传输层安全(TLS)协议1.2以上版本 2、证书必须使用SHA256或更高的哈希算法签名 3、必须使用2048位以上RSA密钥或256位以上ECC算法等等 4、证书必须是V3版本 以上是几个注意点。主要针对ios的ATS策略 ...
关于https双向认证详解tomcat+java实现交叉验证
Ender__的专栏
06-18 3144
关于https双向认证详解 原doc文档导出pdf https://github.com/enderwsp/share4u/raw/master/%E5%85%B3%E4%BA%8Ehttps%E7%9A%84%E5%8F%8C%E5%90%91%E8%AE%A4%E8%AF%81%E8%AF%A6%E8%A7%A3tomcat%2Bjava%E5%AE%9E%E7%8E%B0%E4%BA%...
HTTPS的单向与双向认证
weixin_30599769的博客
08-29 243
HTTPS的请求相比http请求,增加了证书认证步骤: 单向认证中,需要客户端导入服务端证书即可。 使用keytool即可: keytool -import -alias 别名 -keystore cacerts -file 证书文件 -trustcacerts keytool的使用参数大致列举如下: -genkey #创建一个默认文件 .keystore,还会产生一...
利用tomcat服务器配置https双向认证https单向认证-ssl、tls
sh_c1991的专栏
02-21 513
关键字:利用tomcat服务器配置https双向认证https单向认证-ssl、tls  首先推荐另一篇不错的文章:http://lixor.iteye.com/blog/1532655  很多朋友、同事问过一个问题,https/ssl怎么做,干什么用的等,今天写出来供大家参考,希望对大家有所帮助.  背景讲述:  1.单向认证,就是传输的数据加密过了,但是不会校验客户端的来源  2.
实现在 Linux 下 Tomcat 的双向SSL认证
蓝天战鸽-Java攻城狮
08-06 1000
实现在 Linux 下 Tomcat 的双向SSL认证 润名,Monday, Twenty-sixth Of June 2006   一、前言:   关于如何使用Tomcat服务器实现双向SSL认证的文章很早就有了, 比较实用的文章可以看看 IBM developerWorks 中国网站 2002年5月 配置Tomcat 4使用
使用 OpenSSL 创建自签名证书
Dexter's Laboratory
03-30 895
这时候还会自动生成一个后面用这个根证书再签发的证书中会包含此序列号。
ios自己搭建服务器证书,iOS 自签名证书建立(ca)
weixin_34717586的博客
07-31 800
请求ca key:openssl genrsa -out ca.key 1024建立ca 证书openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -subj "/C=CN/ST=Shanghai/L=Shanghai/O=ule/OU=ule.com Root CA"请求服务器私钥:openssl genrsa -out serve...
ASIHTTPRequest下访问https
u010420635的专栏
05-09 977
#import "ClientCertificateTests.h"#import "ASIHTTPRequest.h" @implementation ClientCertificateTests - (void)testClientCertificate{ // This test will fail the second time it is run, I presume the certi
tomcat部署https,用openssl签发证书
龙龟的文具盒
05-26 5445
常见后缀cer,crt证书(不支持私钥) 一般是签署后CA颁发的证书,实质是CA用私钥在申请者的公钥上签名 —–BEGIN CERTIFICATE—–csr:(Certificate Signing Request) 申请签名的证书请求 –-BEGIN NEW CERTIFICATE REQUEST–pfx,p12:(Personal Information Exchange) 存储证书和私
Tomcat配置使用SSL双向认证使用openssl生成证书
STK_tianwen的专栏
04-02 9905
Tomcat配置使用SSL双向认证使用openssl生成证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值