Keycloak建立HTTPS通道 及 TLS / X.509 认证

已于 2022-06-17 10:46:21 修改
阅读量5.7k 收藏 14
点赞数 24
分类专栏: keycloak 文章标签: keycloak openssl x509 https keytool
于 2021-11-17 23:19:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43549604/article/details/121385957
版权

环境

Windows 10
keycloak 10.0.1
openssl 1.1.0i 14 Aug 2018
jdk 8.0
standalone模式
IE 浏览器
上面这些只是说明本文的测试环境,可自行搭配,问题不大

准备证书及密钥库

建议整个创建过程在一个空的文件中进行,创建完所有需要的证书再拿出去使用

tip: 先创建一个server.ext文件到文件夹中,所有的密码都设置为changeit,防止忘记

  • server.ext
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
subjectAltName = @alt_names
[alt_names]
DNS.1 = server
  • 创建根证书 rootCA
    openssl req -x509 -sha256 -days 3650 -newkey rsa:4096 -keyout rootCA.key -out rootCA.crt
  • 将根证书放入truststore.jks 密钥库中
    keytool -import -keystore truststore.jks -file rootCA.crt -alias root
  • 创建服务器证书
    openssl req -new -newkey rsa:4096 -keyout server.key -out server.csr -nodes
  • 使用根证书对服务器证书进行签署
    openssl x509 -req -CA rootCA.crt -CAkey rootCA.key -in server.csr -out server.crt -days 365 -CAcreateserial -extfile server.ext
  • 将server.key和server.crt合并放入一个keystore中
    openssl pkcs12 -export -out server.jks -name "server" -inkey server.key -in server.crt
  • 创建一个用户证书alice
    openssl req -new -newkey rsa:4096 -nodes -keyout alice.key -out alice.csr
    记住 Common Name 和 Email Address两个信息
    在这里插入图片描述
  • 使用rootCA对alice证书进行签署
    openssl x509 -req -CA rootCA.crt -CAkey rootCA.key -in alice.csr -out alice.crt -days 365 -CAcreateserial
  • 将alice.key和alice.crt合并存入一个keystore中
    openssl pkcs12 -export -out alice.p12 -name "alice" -inkey alice.key -in alice.crt
    所有操作完毕后文件夹中的所有文件
    在这里插入图片描述

https通道的建立

为保证安全性,证书需要在安全的通道上去传输,所以在使用证书登录之前,需要建立安全的访问通道,https
启动standalone服务器
F:\zhibe\keycloak-LoginWithCert\keycloak-10.0.1\bin>standalone
访问 http://localhost:8080/auth 并登录
在这里插入图片描述
在这里插入图片描述
项目启动正常
接着访问 https://localhost:8443/auth

在这里插入图片描述

开始配置

  • 将rootCA证书导入浏览器
    在这里插入图片描述
  • 将server.jks导入standalone服务器
  1. 到\standalone\configuration目录下修改standalone.properties及standalone-ha.properties文件
<security-realms>
...
	<security-realm name="ssl-realm">
		     <server-identities>
		            <ssl>
		                <keystore path="server.jks"
		                          relative-to="jboss.server.config.dir"
		                          keystore-password="changit"/>
		            </ssl>
		        </server-identities>
		       ...
	</security-realm>
...
</security-realms>
....
<server name="default-server">
	 ...
	         <!-- <https-listener name="https" socket-binding="https" security-realm="ApplicationRealm" enable-http2="true"/> -->
	         <https-listener name="https" socket-binding="https" security-realm="ssl-realm" verify-client="REQUESTED" enable-http2="true"/>
	         <host name="default-host" alias="localhost">
					....
				 <!--<http-invoker security-realm="ApplicationRealm"/>-->
	             <http-invoker security-realm="ssl-realm"/>
	         </host>
</server>
.....
  1. 将server.jks放到\standalone\configuration目录下
  • 重启服务器
    F:\zhibe\keycloak-LoginWithCert\keycloak-10.0.1\bin>standalone
    访问 http://localhost:8080/auth 并登录
    在这里插入图片描述
    在这里插入图片描述
    启动正常
    接着访问 https://localhost:8443/auth 并登录
    在这里插入图片描述
    点击右上方的锁logo,查看证书信息
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    登录正常
    https通道建立成功

证书登录

  • keycloak服务器设置
    1. 创建一个realm
      在这里插入图片描述
      在这里插入图片描述
    2. 创建一个flow
      在这里插入图片描述
      在这里插入图片描述
      在这里插入图片描述
      在这里插入图片描述
      删除没必要的认证类型后
      在这里插入图片描述
      点击Add execution选择X509/Validate Username Form
      在这里插入图片描述
      在这里插入图片描述

将X509/Validate Username Form 往上移动一格,点选 ALTERNATIVE
在这里插入图片描述
点击action点进config
在这里插入图片描述
在这里插入图片描述
点击保存

点击Bindings菜单
在这里插入图片描述
修改Browser Flow 的选择
在这里插入图片描述
点击保存
3. 创建一个用户
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
点击保存
在这里插入图片描述

  • 将truststore.jks导入服务器
  1. 到\standalone\configuration目录下修改standalone.properties及standalone-ha.properties文件
<security-realm name="ssl-realm">
      ...
        <authentication>
            <truststore path="truststore.jks"
                        relative-to="jboss.server.config.dir"
                        keystore-password="changeit"/>
        </authentication>
</security-realm>
  1. 将truststore.jks放到\standalone\configuration目录下
  • 将alice.p12导入浏览器
    在这里插入图片描述
    在这里插入图片描述
  • 重启服务器
    F:\zhibe\keycloak-LoginWithCert\keycloak-10.0.1\bin>standalone
    访问 http://localhost:8080/auth 并登录
    在这里插入图片描述
    在这里插入图片描述
    启动正常
    接着访问 https://localhost:8443/auth 并登录
    在这里插入图片描述
    点击右上方的锁logo,查看证书信息
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    登录正常
    到x509realm中在clients菜单中点击https://localhost:8443/auth/realms/x509/account/
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    证书登入成功

参考资料:
配置keycloak支持x509证书登入:https://www.keycloak.org/docs/latest/server_admin/#_x509
docker-compose版本的配置视频:https://www.youtube.com/watch?v=yq1hzNs1JQU
openssl生成自签名证书指令及过程:https://gist.github.com/dasniko/b1aa115fd9078372b03c7a9f7e9ec189
感谢
Niko Köbler 给我的指引
thank you!

Docker : Error response from daemon: Get https://docker.elastic.co/v2/: net/http: TLS handshake time
九师兄
07-04 2971
1.美图 2.概述 (base) lcc@lcc ~$ docker pull docker.elastic.co/elasticsearch/elasticsearch:6.3.2 Error response from daemon: Get https://docker.elastic.co/v2/: net/http: TLS handshake timeout
invoke jdk1.7 报错 “/lib/tls/libc.so.6: version `GLIBC_2.4' not found”
zhouzihan520xj的专栏
03-08 1万+
我是用的是CentOS,版本信息 LSB Version:    :core-3.0-amd64:core-3.0-noarch:graphics-3.0-amd64:graphics-3.0-noarch Distributor ID: RedHatEnterpriseAS Description:    Red Hat Enterprise Linux AS release 4 (Nah
keycloak~nginx实现的https转发
vx539413949的博客
04-26 1375
keycloak我们都以docker为例子,来讲一下https的部署。 https更安全,加密传输 kc有些cookies,需要https的支持 nginx部署 upstream keycloak { server 192.168.*.*:8080; } server { server_name kc.lind.com; listen 443 ssl; ssl_certificate /usr/local/nginx/tls.crt; ssl_cert
(九)keycloak使用nginx来配置https
06-13 1655
直接在keycloak.conf中配置使用代理服务器配置,如nginx因为还要同时配置其他应用服务,我们直接使用了nginx代理配置https,同时保留http访问。
设置了 Keycloak 用户、分配了权限,并配置了 Spring Boot 应用,但仍然遇到 “Bad credentials“ 问题
最新发布
weixin_45428910的博客
10-10 603
设置了 Keycloak 用户、分配了权限,并配置了 Spring Boot 应用,但仍然遇到 "Bad credentials" 问题
keycloak设置自制https证书
YSTXDONG的专栏
05-22 851
keycloak 初始化admin后,出现HTTPS required 问题,后端也提示出现 ssl_required问题。查阅官网后,官网说 start-dev 模式默认不启用https,但是我的却有https校验,一头雾水。于是决定生成自制证书,让keycloak可以被https访问到。
Keycloak使用nginx配置https
王老欠
03-14 3682
Keycloak使用nginx配置httpsnginx server中需包含如下配置修改standalone.xml nginx server中需包含如下配置 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $host; proxy_set_header X-Forwarded-P...
docker keycloak启用ssl https
Rainy_f的博客
12-01 1583
docker keycloak启用ssl https
npm ERR! network request to https://registry.npmjs.org/axios failed, reason: Client network socket d
weixin_47373456的博客
06-01 6723
npm install 报错
sslfie, 生成自签名 x.509 证书以便与 SSL/TLS 一起使用.zip
09-18
sslfie, 生成自签名 x.509 证书以便与 SSL/TLS 一起使用 SSLfie生成自签名 x.509 证书,用于 ssl/tls协议。一目了然:在一个证书中支持多个域名,使用 SubjectAltName字段。Trivial自动化- 唯一需要的参数是域名默认...
fatal: unable to access“https://github.com/ ***“解决办法
热门推荐
baidu_36487340的博客
03-09 2万+
不知道因为什么,有时候git clone 会报错: fatal: unable to access 'https://github.com/ros/robot_state_publisher.git/': gnutls_handshake() failed: The TLS connection was non-properly terminated. 查阅资料,有几种解决办法: 因为权限不够,比如 git clone https://github.com/ros/robot_state_publi
keycloak集群部署配置
11-05
Keycloak是一个针对现代应用程序和服务的开源身份和访问管理解决方案。单点部署相对简单,本文档包含集群部署配置,包含nginx。
keycloak 认证服务
刘毅的博客
11-16 2万+
文章目录1. 概述1.1 架构1.1.1 认证流程1.1.2 认证服务1.2 术语1.2.1 资源服务器(Resource Server)1.2.2 资源(Resource)1.2.3 范围(Scope)1.2.4 权限(Permission)1.2.5 策略(Policy)1.2.6 策略提供者(Policy Provider)1.2.7 权限票据(Permission Ticket)2 入门指...
keycloak~docker部署httpskeycloak使用自定义证书
vx539413949的博客
04-26 1762
使用自定义证书 需要先生成一对证书,其中.crt文件是公钥,也叫证书,在浏览器上可以看到;.key文件是私钥,由网站服务器自己保留。 keycloak ssl keycloakssl默认有自己的自签名证书,这个如果涉及到你的程序调用kc的接口,kc使用自定义证书是不行的,你调不通,使用使用正规的证书 sslhttps端口是8443,在使用docker启动时,监听它即可 ssl的自定义证书目录是/etc/x509/https,使用docker时,把自定义证书挂载到这个目录即可 为什么要使用https
https部署(nginx代理) keycloak ,js加载不出来的问题
qq_42962779的博客
07-26 1707
docker 部署 keycloak js空白,加载不出来解决方式
KeyCloak5.0版本使用nginx代理解决HTTPS域名的问题
zhuwei_clark的博客
03-13 2574
第一个问题: java.sql.SQLException: Can not call getNString() when field's charset isn't UTF-8 UTF-8的编码问题,在指定编码的时候必须使用大写的UTF-8,不能使用小写的UTF-8 &lt;datasource jndi-name="java:jboss/datasources/KeycloakDS" ...
Keycloak服务器安装和配置
weixin_30872157的博客
01-17 1635
安装地址:https://www.keycloak.org/archive/downloads-4.4.0.html 参考文档:https://www.keycloak.org/docs/latest/server_installation/index.html#guide-overview 解压文件: 分发目录结构: 目录解释 bin: 包含启动服务和管理操作的脚...
Keycloak入门
weixin_43744390的博客
08-25 729
Keycloak是什么,入门学习,相关概念,单点登录(SSO),OAuth2.0,SAML2.0,OpenId Connection,
Keycloak的搭建
彼岸吖的博客
04-12 3283
网络上一些基于http搭建的keycloak基本上是无法登录的。 经过我多次试错,发现https搭建的keycloak 可以登录。 参考:https://stackoverflow.com/questions/49859066/keycloak-docker-https-required/49874353 Keycloak 17+ (例如quay.io/keycloak/keycloak:17.0.0)不支持自签名证书的自动生成。Keycloak 17+ 的最小 HTTPS 工作示例: 下载好镜.
centos7 下载http://curl.haxx.se/ca/cacert.pem 替换/etc/pki/tls/certs/ca-bundle.crt
10-01
sudo curl -L https://curl.haxx.se/ca/cacert.pem -o /etc/pki/tls/certs/ca-bundle.crt ``` 这里的 `-o` 参数表示将下载的内容保存到指定位置,`sudo` 是为了获得管理员权限,因为在 `/etc/pki/tls/certs` 目录下...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值