数字证书及安全加密(四)使用CA签发的服务器证书并验证证书链

最新推荐文章于 2024-04-18 10:47:15 发布
最新推荐文章于 2024-04-18 10:47:15 发布
阅读量866 收藏
点赞数
分类专栏: https 文章标签: CA SSL spring security oauth https httpclient
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sb33060418/article/details/84523641
版权
在上一篇的实践中配置成功了双向SSL,但是使用的是本地用keytool生成的证书而非真正的服务器证书;而且对用户证书的校验仅仅是将用户公钥添加至服务器信任证书库,真正面对大量用户时不可能在服逐个添加用户公钥证书;客户端程序访问多个不同的服务器时也不应该将服务器公钥全部配置进客户端信任证书库。

本篇是如何使用CA签发的服务器证书配置SSL和配置tomcat使用证书链的实践。

[b]1.申请并签发服务器证书[/b]
具体过程参考水墨江南的技术博文[url]http://zhuyuehua.iteye.com/blog/1101054[/url]

签发的服务器证书中应该包含一张含私钥的证书、根CA证书、服务器CA证书、设备证书。

签发的服务器证书为keystore.jks,密码为password。 

d:
cd %JAVA_HOME%/bin
keytool -v -list -keystore D:/lib/keystore.jks -storetype jks -storepass password

查看服务器证书内容,结果如下:
[list]
[*] itrusca, 2014-1-21, PrivateKeyEntry,
[*] server-mid, 2014-1-21, trustedCertEntry,
[*] server-root, 2014-1-21, trustedCertEntry,
[*] server, 2014-1-21, trustedCertEntry,
[/list]
其中的PrivateKeyEntry就是服务器证书,剩下三张分别为服务器CA证书、根CA证书和设备证书。
证书链的证书路径是:根CA证书》服务器CA证书》设备证书》服务器证书。

[b]2.签发带证书链的用户证书[/b]
用户证书为user.pfx,密码为password。
查看用户证书信息 

keytool -list -keystore D:/lib/user.pfx -storetype pkcs12 -storepass password

可以看到有一张带私钥的证书
[list]
[*] user, 2014-1-23, PrivateKeyEntry
[/list]
以及证书链路径:根CA》用户CA》用户证书。

[b]3.导出用户CA证书[/b]
需要将用户CA从用户证书链中导出。

双击user.pfx,将用户证书导入系统证书库中。

在系统证书列表中,选中刚导入的用户证书》点击“查看”按钮查看证书信息》点击“证书路径”选项卡查看证书路径》选中用户CA证书后点击“查看证书”按钮查看用户CA证书信息》点击证书窗口中的“详细信息”选项卡》点击“复制到文件”按钮》存储至:D/lib/ca-mid.cer。

[b]4.将用户CA证书导入服务端信任证书库[/b] 

keytool -import -file D:/lib/ca-mid.cer -keystore D:/lib/servertrust.jks -alias ca-mid -keypass password -storepass password
keytool -list -keystore D:/lib/servertrust.jks -storepass password


[b]5.tomcat配置[/b]
tomcat/conf/server.xml中关于证书库配置如下 

           keystoreFile="D:/lib/keystore.jks"    
           keystorePass="password"
           truststoreFile="D:/lib/servertrust.jks"    
           truststorePass="password"

重启tomcat后,使用浏览器访问https://server:8443/,使用user证书访问成功。

使用客户端程序访问https服务时该如何配置?参考第三篇博文中的配置内容。

[b]6.将服务器证书导入客户端信任证书库[/b]
需要先将服务器公钥证书从keystore.jks中导出。 
keytool -export -alias itrusca -keystore D:/lib/keystore.jks -rfc -file D:/lib/itrusca.cer -storepass password  -keypass password

导入至客户端信任证书库 
keytool -import -file D:/lib/itrusca.cer -keystore D:/lib/clienttrust.jks -alias itrusca -keypass password -storepass password
keytool -list -keystore D:/lib/clienttrust.jks -storepass password



[b]6.客户端程序访问[/b]
客户端程序配置虚拟机参数 
 -Djavax.net.ssl.keyStore=D:/lib/user.pfx -Djavax.net.ssl.keyStoreType=PKCS12 -Djavax.net.ssl.keyStorePassword=password -Djavax.net.ssl.trustStore=D:/lib/clienttrust.jks -Djavax.net.ssl.trustStorePassword=password -Djavax.net.ssl.trustStoreType=JKS

或在程序内加载客户端证书库及信任证书库后可访问https服务。

[b]7.用户CA签发的其他用户证书[/b]
在系统证书库中装载其他由用户CA签发的用户证书后,可在浏览器使用该证书访问https服务,说明服务端配置信任用户CA证书链成功。


在程序中,如果遇到需要连接多个由同一服务器CA证书签发的服务器证书时该怎么办?很简单,参照服务端信任用户CA一样,只要让客户端信任服务器证书的上级证书(服务器CA证书)即可。

[b]8.导出服务器CA证书[/b] 
keytool -export -alias server-mid -keystore D:/lib/keystore.jks -rfc -file D:/lib/server-mid.cer -storepass password  -keypass password


[b]9.将服务器CA证书导入客户端信任证书库[/b]
删除D:/lib/clienttrust.jks后, 

keytool -import -file D:/lib/server-mid.cer -keystore D:/lib/clienttrust.jks -alias server-mid -keypass password -storepass password
keytool -list -keystore D:/lib/clienttrust.jks -storepass password


[b]10.服务器CA证书签发的其他服务器证书[/b]
使用客户端程序连接至同一体系下的其他服务器证书时,测试访问https服务成功,说明客户端配置信任服务器CA证书链成功。
sb33060418
关注
专栏目录
使用OpenSSL创建多级CA证书签发证书并导出为pkcs12/p12/pfx文件
Laurence的技术博客
03-21 8531
文章目录1. 生成根CA证书并自签2. 生成二级CA证书使用CA证书签发3. 生成服务器证书使用二级CA证书签发4. 制作CA证书5. 打包为p12文件6. 注意事项7. 使用`openssl x509`和`openssl ca`签发CA证书的差别 操作步骤: 生成根CA证书并自签 生成二级CA证书使用CA证书签发 生成服务器证书使用二级CA证书签发 制作CA证书 打包为p12文件 1. 生成根CA证书并自签 # 创建root-ca并自签名 openssl req -x509 -newkey
https java 客户端_Java客户端证书通过HTTPS / SSL
weixin_31520593的博客
02-23 444
虽然不推荐,但您也可以一起禁用SSL证书validation:import javax.net.ssl.*; import java.security.SecureRandom; import java.security.cert.X509Certificate; public class SSLTool { public static void disableCertificateValidat...
关于CA证书验证的理解(keytool工具、Tomcat实现测试)
qq_44872950的博客
10-16 3290
关于CA证书验证结合shiro登录的总结笔记背景一、关于CA认证(一)什么是HTTPS?(二)Https的工作原理利用tomcat服务器配置https双向认证第一步:为服务器生成证书第二步:为客户端生成证书第三步:让服务器信任客户端证书步:让客户端信任服务器证书第五步:配置Tomcat 服务器第六步:测试删除证书指纹二、关于shiro的理解几个类的理解如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的
【5.如何验证 数字证书的有效性】
jy0921
09-29 5046
1. 数字证书CA 签发给用户,CA 保证它的安全和可靠性,使用CA的私钥对证书进行签名使用 CA的公钥验证签名。 通过Java的代码演示,分别从 吾爱 网站下载了 它的末端证书、它的上级CA证书,以及 从 CSDN下载了 末端证书使用 吾爱的 上级CA 分别验证 吾爱的用户证书 和 CSDN的用户证书,查看区别。 package verify; import java....
02-HTTPS证书生成、验签证书
River的博客
11-11 1516
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
Certificate Chain (证书) 简述
O_o
07-14 4893
涉及 Certificate Chain.
证书的终极版
weixin_39161141的博客
04-25 2872
这几天学习了证书,顺便分享了出来,包括证书组成,验证证书申请,ssl协议等
PKI/CA数字证书技术大全
12-06
2. **认证授权机构(CA)**:CA是PKI中的关键角色,负责验证签发数字证书,确保证书持有者的身份真实可信。CA的职责包括证书的申请、审核、发放、撤销和更新。 3. **数字证书**:数字证书是一个包含公开密钥及其...
HebcaLoginDemo123_数字证书登录验证功能_
09-29
在IT行业中,数字证书登录验证功能是网络安全领域的重要一环,尤其在企业级应用和高安全性的系统中广泛使用。这个名为"HebcaLoginDemo123"的项目显然是一个演示了如何通过数字证书进行用户身份验证的示例。下面我们...
CA证书资源包(全版本通用)
12-15
这个文件通常是一个二进制格式的X.509数字证书,用于构建和验证信任,确保用户与服务器之间的通信安全。 **CA证书的工作原理:** 在网络安全中,CA证书扮演着信任中介的角色。当用户尝试访问一个网站时,浏览器会...
行业分类-设备装置-数字证书的生成和校验方法及设备.zip
09-10
5. **分发与安装**:用户收到CA签发数字证书后,将其安装在需要使用的设备或服务器上。 **数字证书的校验:** 1. **接收方获取证书**:当访问一个受保护的资源时,接收方会收到发送方的数字证书。 2. **验证证书...
什么是证书
最新发布
展望、进击
04-18 777
在数字世界中,证书是确保通信安全和数据完整性的关键结构。它构建了一个从受信任的根证书颁发机构(CA)到目标服务器证书的信任路径。本文将详细解释什么是证书,它是如何工作的,以及为什么它对保障网络安全至关重要。🌐🔍
CA证书合法性验证
qq_43402663的博客
05-01 2962
https连接建立 加密的三种方式 1.对称加密:一把密钥,密钥加密,密钥解密 2.非对称加密:两把密钥,一把加密,另一把解密。公开的那个叫公钥,自己留的叫私钥 3.hash加密:通过一种算法,把大量信息压缩映射成唯一的短字符,且通过这段字符不能反解出该大量信息 三个角色 未建立前分别都有什么信息 1.client:CA机构的公钥A,内置在系统中 2.server: 从CA机构申请的证书,和该证书对应得私钥B 3.CA机构:产生证书 CA证书有什么信息 1.文件包(公钥B,hash算法,用途,颁发
数字签名CA证书
zion--6135的博客
07-27 1836
公钥基础设施(Public-Keyinfrastructure)是为了能够更有效地运用公钥而制定的一系列规范和规格的总称。A用私钥加密--->通过D运算(叫做签名)----->生成密文---->B收到密文---->通过A的公钥--->通过E运算(验签)--->得到明文。只要你信任上的头一个证书,那后续的证书,都是可以信任滴。则它们之间,构成如下的一个树形关系(一个倒立的树)。认证机构Trent用自己的私钥对Bob的公钥施加数字签名并生成证书CA证书,顾名思义,就是CA颁发的证书。...
SSL从理论到实践()——Keytool
曾博文的博客
01-17 1537
  keytool是一个java数据证书的管理工具。keytool将密钥和证书存在一个称为keystore(即密钥库)的文件中。在keystore里,包含两种数据——KeyEntry和CertEntry,KeyEntry包含私钥和证书,CertEntry只包含证书。keystore中可以有多个Entry(即条目),在库里的每个Entry都是靠别名来识别的。   keytool不需要额外安装,是jd...
证书-证书校验
大力海棠的博客
02-03 8831
先来打开一个网站的证书看看: 它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.csdn.net。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也...
Spring boot部署SSL证书及keytool相关
月明海沧
10-19 1157
目录一、Spring boot部署SSL证书1、申请并下载SSL证书2、生成.jks文件3、在项目中部署4、修改启动类,让http请求重定向到https(如果需要)二、keytool相关1、keytool2、keytool 常用命令3、遇到的坑(1)为什么不要下载阿里云jks格式的证书(2)Tomcat启动报错当前端口已被占用(实际没有被占用)参考 一、Spring boot部署SSL证书 1、申请并下载SSL证书 我是阿里云的服务器,阿里云有免费的SSL证书可以申请,申请后下载Tomcat类别对应的证书
openssl证书的校验过程
知识需要积累。
02-06 8791
 X509_STORE_CTX这个结构主要是用来校验证书用,一般都会使用X509_STORE这个已经设置好的对象来初始化X509_STORE_CTX,初始化函数如下: int X509_STORE_CTX_init(X509_STORE_CTX *ctx, X509_STORE *store, X509 *x509,     STACK_OF(X509) *chain) 
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值