openSSL双向数字证书认证

最新推荐文章于 2022-02-23 21:34:54 发布
最新推荐文章于 2022-02-23 21:34:54 发布
阅读量991 收藏 3
点赞数

  注:SSL双向数字证书认证原理,请阅读上篇文章《SSL 与 数字证书 的基本概念和工作原理》
  
  一:生成CA证书
  
  目前不使用第三方权威机构的CA来认证,自己充当CA的角色。
  
  openssl中有如下后缀名的文件
  
  .key格式:私有的密钥
  
  .csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
  
  .crt格式:证书文件,certificate的缩写
  
  .crl格式:证书吊销列表,Certificate Revocation List的缩写
  
  .pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式
  
  网上下载一个openssl软件
  
  1.创建私钥: (此时会创建一个密钥对,即一个公钥一个私钥)
  
  C:\OpenSSL\bin>openssl genrsa -out ca/sotech.key 2048
  
  2.创建证书请求 : 这里将生成一个新的文件cert.csr,即一个证书请求文件,你可以拿着这个文件去数字证书颁发机构(即CA)申请一个数字证书。CA会给你一个新的文件cacert.pem,那才是你的数字证书。
  
  C:\OpenSSL\bin>openssl req -new -key ca/sotech.key -out ca/sotech.csr
  
  -----
  
  Country Name (2 letter code) [AU]:CN
  
  State or Province Name (full name) [Some-State]:LN
  
  Locality Name (eg, city) []:DL
  
  Organization Name (eg, company) [Internet Widgits Pty Ltd]:SOTECH
  
  Organizational Unit Name (eg, section) []:HQ
  
  Common Name (eg, YOUR name) []:SOTECH
  
  Email Address []:test@163.com
  
  Please enter the following 'extra' attributes
  
  to be sent with your certificate request
  
  A challenge password []:x1ex5GjG
  
  An optional company name []:x1ex5GjG
  
  3.自签署证书 :
  
  生成cer文件
  
  C:\OpenSSL\bin>openssl x509 -req -in ca/sotech.csr -signkey ca/sotech.key -days 10950 -out ca/sotech.cer
  
  -days 3650 控制有效期限为3650天,默认为30天。
  
  二.生成server证书。
  
  1.创建私钥 :
  
  C:\OpenSSL\bin>openssl genrsa -out server/server_100.key 2048
  
  2.创建证书请求 :
  
  C:\OpenSSL\bin>openssl req -new -key server/server_100.key -out server/server_100.csr
  
  -----
  
  Country Name (2 letter code) [AU]:CN
  
  State or Province Name (full name) [Some-State]:LN
  
  Locality Name (eg, city) []:AS
  
  Organization Name (eg, company) [Internet Widgits Pty Ltd]:AK
  
  Organizational Unit Name (eg, section) []:IT
  
  Common Name (eg, YOUR name) []:10.18.26.100   注释:一定要写服务器所在的ip地址,  不建议写localhost
  
  Email Address []:test@163.com
  
  Please enter the following 'extra' attributes
  
  to be sent with your certificate request
  
  A challenge password []:46ZHzJc1
  
  An optional company name []:46ZHzJc1
  
  3.自签署证书 :
  
  C:\OpenSSL\bin>openssl x509 -req -in server/server_100.csr -signkey server/server_100.key -CA ca/sotech.cer -CAkey ca/sotech.key -CAcreateserial -days 10950 -out server/server_100.pem
  
  4.将证书导出成浏览器支持的.p12格式 :
  
  C:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in server/server_100.pem -inkey server/server_100.key -out server/server_100.p12
  
  密码: 46ZHzJc1
  
  三.生成client证书。
  
  1.创建私钥 :
  
  C:\OpenSSL\bin>openssl genrsa -out client/client_admin.key 2048
  
  2.创建证书请求 :
  
  C:\OpenSSL\bin>openssl req -new -key client/client_admin.key -out client/client_admin.csr
  
  -----
  
  Country Name (2 letter code) [AU]:CN
  
  State or Province Name (full name) [Some-State]:LN
  
  Locality Name (eg, city) []:AS
  
  Organization Name (eg, company) [Internet Widgits Pty Ltd]:AK
  
  Organizational Unit Name (eg, section) []:IT
  
  Common Name (eg, YOUR name) []:admin
  
  Email Address []:test@163.com
  
  Please enter the following 'extra' attributes
  
  to be sent with your certificate request
  
  A challenge password []:46ZHzJc1
  
  An optional company name []:46ZHzJc1
  
  3.自签署证书 :
  
  C:\OpenSSL\bin>openssl x509 -req -in client/client_admin.csr -signkey client/client_admin.key -CA ca/sotech.cer -CAkey ca/sotech.key -CAcreateserial -days 10950 -out client/client_admin.pem
  
  4.将证书导出成浏览器支持的.p12格式 :
  
  C:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in client/client_admin.pem -inkey client/client_admin.key -out client/client_admin.p12
  
  密码: changeit
  
  四.根据ca证书生成jks文件
  
  C:\OpenSSL\bin>"C:\Program Files\Java\jdk1.7.0_80\bin\keytool" -keystore C:\openssl\bin\jks\truststore.jks -keypass 46ZHzJc1 -storepass 46ZHzJc1 -alias sotech -import -trustcacerts -file C:\openssl\bin\ca\sotech.cer
  
  五.配置tomcat ssl
  
  修改conf/server.xml。tomcat7中多了SSLEnabled="true"属性。keystorefile, truststorefile设置为你正确的相关路径,或者直接复制到C:\apache-tomcat-7.0.75目录下
  
  tomcat7的配置:
  
  <Connector port="8443" protocol=www.365soke.com"org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
  
  maxThreads="150" scheme="https"www.xycheng178.com secure="true"
  
  clientAuth="true" sslProtocol=www.dfgjyl.cn"TLS"
  
  keystoreFile="server_100.p12" keystorePass=www.michenggw.com"46ZHzJc1" keystoreType="PKCS12"
  
  truststoreFile="truststore.jks" truststorePass=www.furggw.com"46ZHzJc1" truststoreType="JKS" />
  
  六.导入证书
  
  将sotech.p12,client_admin.p12分别导入到IE中去(打开IE->;Internet选项->内容->证书)。
  
  sotech.p12导入至受信任的根证书颁发机构, client_admin.p12导入至个人
  
  七.验证ssl配置是否正确访问你的应用https://localhost:8443/,如果配置正确的话会出现请求你数字证书的对话框。
  
  另: web.xml
  
  <login-config>
  
  <!-- Authorization setting for SSL -->
  
  <auth-method>CLIENT-CERT</auth-method>
  
  <realm-name>Client Cert Users-only Area</realm-name>
  
  </login-config>
  
  SSL的授权设置(window环境写不写都可以,待研究)
  
  <security-constraint>
  
  <!-- Authorization setting www.mengzhidu178.com  for SSL -->
  
  <web-resource-collection>
  
  <web-resource-name>SSL<www.hengy178.com /web-resource-name>
  
  <url-pattern>/SSL/*</url-pattern>
  
  </web-resource-collection>
  
  <user-data-constraint>
  
  <transport-guarantee>CONFIDENTIAL<www.huarenyl.cn /transport-guarantee>
  
  </user-data-constraint>
  
  </security-constraint>

liudahai777
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Openssl数字证书
11-21
1、介绍加密算法,阐述什么是数字摘要、数字签名、数字证书 2、用OPENSSL签发客户端、服务器端数字证书 3、HTTPS + tomcat7实例
Openssl实现双向认证教程(附服务端客户端代码)
09-14
主要介绍了Openssl实现双向认证教程(附服务端客户端代码),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
c++使用OpenSSL基于socket实现tcp双向认证ssl(使用TSL协议)代码实现
dream_caoyun的博客
02-23 9788
相信各位对OpenSSL库已经不陌生了,目前笔者使用这个库实现了RSA、AES加解密和tcp的双向认证功能,下面来看tcp的双向认证。 1、什么是双向认证 简单说双向认证就是:客户端认证服务端是否合法,服务端认证客户端是否合法。 可以借助于HTTPS来说明,http网络传输协议是超文本的明文协议,也就是说经过网卡传输的字节序列都是明文,那么HTTPS上的s就是双向认证的操作(ssl),实际上就是在http的逻辑上再套一层ssl握手,进程想要发送的字节序列数据经过http传输时再加上一层ssl来让c和s两端先
本地调试,解决证书错误
u010227042的博客
02-20 1558
申请的证书,都需要验证DNS或验证网站。 本地测试无法验证了,https总是提示“证书错误”。 如何让浏览器认为本地站点是安全的,避免每次访问提示“没有加密”? 安装一个自签名证书。 1 下载openssl。 http://slproweb.com/products/Win32OpenSSL.html 到这里下载一个windows版本的(1.1.1d),有32/64位的,有正常几十M的,也有light版本3M左右的。 比如Win64OpenSSL_Light-1_1_1d.exe 就是64..
OpenSSL简介
热门推荐
Cswe_N
07-14 5万+
基本概念 1. openssl是一个安全套接字层密码库,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库libssl、应用程序命令工具以及密码算法库libcrypto。 2. SSL:Secure Socket Layer,安全套接字层协议,分为SSLv2和SSLv3两个版本,TSL在SSL3.0基础之上提出的...
Linux命令之openssl命令
月生的静心苑
10-25 1万+
openssl是一个功能极其强大的命令行工具,可以用来完成公钥体系(Public Key Infrastructure)及HTTPS相关的很多任务。openssl是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。   openssl有两种运行模式:交互模式和批处理模式。...
使用Openssl生成根证书CA以及签发子证书
technologyleader的专栏
12-17 3927
openssl是当前非常流行的SSL密码库工具,如果服务器或者网站需要使用https协议,就需要使用openssl工具生成证书。 之前在Windows上有用Perl编译过OpenSSL,这次项目上要搭一个https server需要用它来生成自签名证书,其中我的配置文件在openssl/apps/openssl.cnf,编译后openssl.exe在openssl/out32dll文件夹中。 准备工作: 需要在系统系统配置文件中配置openssl.cnf的路径,后面生成证书时会用到。 下面.
服务器配置https协议,三种免费的方法
diyanzong6528的博客
09-03 509
最近想搞一个网站玩玩,发布网站用https协议已经是大势所趋了。例如微信小程序,不使用https协议根本不让接入。所以,分享一下我尝试过的三种方法。 1.Linux自签(OPENSSL生成SSL自签证书) 2.阿里云免费证书 3.Let's Encrypt永久免费SSL证书【墙裂推荐】 一、Linux自签(OPENSSL生成SSL自签证书) 第1步:生成私钥 执行如下命令生成一个RS...
openssl基本原理 + 生成证书 + 使用实例
zxh2075的专栏
04-16 1万+
公司一个项目要进行交易数据传输,因为这个项目银行那边也是刚刚开始启动,所有的支持只有一个传输字段的说明文档,好吧,总的有人做事不是嘛,于是接口开发正式展开,第一步的难点就是加密解密,我选择使用OpenSSL. OpenSSL初接触的人恐怕最难的在于先理解各种概念   公钥/私钥/签名/验证签名/加密/解密/非对称加密   我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解...
signature=0a1a840700a557419aa11d6be9a4600e,熟练掌握 openssl 证书命令说明
weixin_30499557的博客
05-29 191
熟练掌握 openssl 证书命令说明2、在我电脑建立好一个目录,并启动 terminal ,进入该目录cd /Users/dhbm/Desktop/ssl/sign2018072913、生成Self Signed证书1)、生成一个key(我的私钥)openssl genrsa -des3 -out selfsign.key 4096结果 (过程中 密码: 123456)Generating RS...
https双向认证证书配置详解
11-02
针对网上不同作者写的有用cer有的是crt,有的用pem,有的用key所以容易被绕晕所以自己整理了一下 希望对刚接触证书以及需要配置双向认证的人有帮助,内含的ssl双向证书认证,如何为tomcat配置https单、双向请求认证,...
CA.zip_certificates_openssl 证书_数字证书
09-24
用Keytool和OpenSSL生成和签发数字证书
thrift通过openssl加密证书实现双向通信
08-08
thrift框架通过vs2013编译好的静态库,然后通过vs2013实现双向通信代码,通信协议利用openssl加密证书的方式来实现,本资源给出了完整的实现代码,证书可以在网上百度一下,看看如何生成客户端和服务端的,然后编译...
2024-2030全球及中国PCB接触式探头行业研究及十五五规划分析报告.docx
04-18
2024-2030全球及中国PCB接触式探头行业研究及十五五规划分析报告
网站界面设计mortal0418代码
04-18
网站界面设计mortal0418代码
PHP毕业设计-校园失物招领系统源码+数据库.zip
04-18
PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! PHP毕业设计-校园失物招领系统源码+数据库.zip个人经导师指导并认可通过的高分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可
2024年神经酸行业分析报告.pptx
最新发布
04-18
2024年神经酸行业分析报告.pptx
Java爬虫信息抓取的实现 完整实例(源码)
04-18
【Java爬虫】信息抓取的实现 完整实例(源码)
rain-drop.PNG
04-18
rain-drop.PNG
openssl双向认证
12-13
openssl双向认证是一种安全机制,通过该机制,服务器和客户端之间进行通信时,双方都需要验证对方的身份。在这种认证过程中,服务器需要提供自己的证书以证明自己的身份,而客户端也需要提供自己的证书以验证自己的身份。这样一来,双方可以在通信过程中确保对方的身份是可信的,从而保障通信的安全性。 要使用openssl双向认证,首先需要生成服务器和客户端的证书。服务器证书可以通过自签名或者向CA机构申请签发获得,而客户端证书通常是由服务器发放给客户端的。然后,服务器和客户端需要对证书进行配置和安装,以便在通信过程中能够进行正确的认证。 在进行通信时,服务器和客户端会相互交换证书,并且进行验证。服务器会验证客户端的证书,以确认其身份的有效性,并决定是否接受通信请求。同样地,客户端也会验证服务器的证书,以确保其身份的合法性。只有在双方都通过了对方的验证后,通信才会正常进行。这样一来,即使遭遇了网络攻击或者中间人攻击,双方也可以通过证书认证来确保通信的安全性。 通过openssl双向认证,可以有效防止伪装、仿冒和中间人攻击等安全威胁,提高了通信的安全性和可靠性。这种双向认证机制广泛应用于各种网络通信场景,包括Web服务器、邮件服务器、数据库服务器等,为网络通信提供了更强的保障。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值