数字证书及安全加密(四)使用CA签发的服务器证书并验证证书链

最新推荐文章于 2024-04-18 10:47:15 发布
最新推荐文章于 2024-04-18 10:47:15 发布
阅读量842 收藏
点赞数
分类专栏: https 文章标签: CA SSL spring security oauth https httpclient
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sb33060418/article/details/84523641
版权
在上一篇的实践中配置成功了双向SSL,但是使用的是本地用keytool生成的证书而非真正的服务器证书;而且对用户证书的校验仅仅是将用户公钥添加至服务器信任证书库,真正面对大量用户时不可能在服逐个添加用户公钥证书;客户端程序访问多个不同的服务器时也不应该将服务器公钥全部配置进客户端信任证书库。

本篇是如何使用CA签发的服务器证书配置SSL和配置tomcat使用证书链的实践。

[b]1.申请并签发服务器证书[/b]
具体过程参考水墨江南的技术博文[url]http://zhuyuehua.iteye.com/blog/1101054[/url]

签发的服务器证书中应该包含一张含私钥的证书、根CA证书、服务器CA证书、设备证书。

签发的服务器证书为keystore.jks,密码为password。 

d:
cd %JAVA_HOME%/bin
keytool -v -list -keystore D:/lib/keystore.jks -storetype jks -storepass password

查看服务器证书内容,结果如下:
[list]
[*] itrusca, 2014-1-21, PrivateKeyEntry,
[*] server-mid, 2014-1-21, trustedCertEntry,
[*] server-root, 2014-1-21, trustedCertEntry,
[*] server, 2014-1-21, trustedCertEntry,
[/list]
其中的PrivateKeyEntry就是服务器证书,剩下三张分别为服务器CA证书、根CA证书和设备证书。
证书链的证书路径是:根CA证书》服务器CA证书》设备证书》服务器证书。

[b]2.签发带证书链的用户证书[/b]
用户证书为user.pfx,密码为password。
查看用户证书信息 

keytool -list -keystore D:/lib/user.pfx -storetype pkcs12 -storepass password

可以看到有一张带私钥的证书
[list]
[*] user, 2014-1-23, PrivateKeyEntry
[/list]
以及证书链路径:根CA》用户CA》用户证书。

[b]3.导出用户CA证书[/b]
需要将用户CA从用户证书链中导出。

双击user.pfx,将用户证书导入系统证书库中。

在系统证书列表中,选中刚导入的用户证书》点击“查看”按钮查看证书信息》点击“证书路径”选项卡查看证书路径》选中用户CA证书后点击“查看证书”按钮查看用户CA证书信息》点击证书窗口中的“详细信息”选项卡》点击“复制到文件”按钮》存储至:D/lib/ca-mid.cer。

[b]4.将用户CA证书导入服务端信任证书库[/b] 

keytool -import -file D:/lib/ca-mid.cer -keystore D:/lib/servertrust.jks -alias ca-mid -keypass password -storepass password
keytool -list -keystore D:/lib/servertrust.jks -storepass password


[b]5.tomcat配置[/b]
tomcat/conf/server.xml中关于证书库配置如下 

           keystoreFile="D:/lib/keystore.jks"    
           keystorePass="password"
           truststoreFile="D:/lib/servertrust.jks"    
           truststorePass="password"

重启tomcat后,使用浏览器访问https://server:8443/,使用user证书访问成功。

使用客户端程序访问https服务时该如何配置?参考第三篇博文中的配置内容。

[b]6.将服务器证书导入客户端信任证书库[/b]
需要先将服务器公钥证书从keystore.jks中导出。 
keytool -export -alias itrusca -keystore D:/lib/keystore.jks -rfc -file D:/lib/itrusca.cer -storepass password  -keypass password

导入至客户端信任证书库 
keytool -import -file D:/lib/itrusca.cer -keystore D:/lib/clienttrust.jks -alias itrusca -keypass password -storepass password
keytool -list -keystore D:/lib/clienttrust.jks -storepass password



[b]6.客户端程序访问[/b]
客户端程序配置虚拟机参数 
 -Djavax.net.ssl.keyStore=D:/lib/user.pfx -Djavax.net.ssl.keyStoreType=PKCS12 -Djavax.net.ssl.keyStorePassword=password -Djavax.net.ssl.trustStore=D:/lib/clienttrust.jks -Djavax.net.ssl.trustStorePassword=password -Djavax.net.ssl.trustStoreType=JKS

或在程序内加载客户端证书库及信任证书库后可访问https服务。

[b]7.用户CA签发的其他用户证书[/b]
在系统证书库中装载其他由用户CA签发的用户证书后,可在浏览器使用该证书访问https服务,说明服务端配置信任用户CA证书链成功。


在程序中,如果遇到需要连接多个由同一服务器CA证书签发的服务器证书时该怎么办?很简单,参照服务端信任用户CA一样,只要让客户端信任服务器证书的上级证书(服务器CA证书)即可。

[b]8.导出服务器CA证书[/b] 
keytool -export -alias server-mid -keystore D:/lib/keystore.jks -rfc -file D:/lib/server-mid.cer -storepass password  -keypass password


[b]9.将服务器CA证书导入客户端信任证书库[/b]
删除D:/lib/clienttrust.jks后, 

keytool -import -file D:/lib/server-mid.cer -keystore D:/lib/clienttrust.jks -alias server-mid -keypass password -storepass password
keytool -list -keystore D:/lib/clienttrust.jks -storepass password


[b]10.服务器CA证书签发的其他服务器证书[/b]
使用客户端程序连接至同一体系下的其他服务器证书时,测试访问https服务成功,说明客户端配置信任服务器CA证书链成功。
sb33060418
关注
专栏目录
使用OpenSSL创建多级CA证书签发证书并导出为pkcs12/p12/pfx文件
Laurence的技术博客
03-21 8384
文章目录1. 生成根CA证书并自签2. 生成二级CA证书使用CA证书签发3. 生成服务器证书使用二级CA证书签发4. 制作CA证书5. 打包为p12文件6. 注意事项7. 使用`openssl x509`和`openssl ca`签发CA证书的差别 操作步骤: 生成根CA证书并自签 生成二级CA证书使用CA证书签发 生成服务器证书使用二级CA证书签发 制作CA证书 打包为p12文件 1. 生成根CA证书并自签 # 创建root-ca并自签名 openssl req -x509 -newkey
关于CA证书验证的理解(keytool工具、Tomcat实现测试)
qq_44872950的博客
10-16 3208
关于CA证书验证结合shiro登录的总结笔记背景一、关于CA认证(一)什么是HTTPS?(二)Https的工作原理利用tomcat服务器配置https双向认证第一步:为服务器生成证书第二步:为客户端生成证书第三步:让服务器信任客户端证书步:让客户端信任服务器证书第五步:配置Tomcat 服务器第六步:测试删除证书指纹二、关于shiro的理解几个类的理解如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的
【5.如何验证 数字证书的有效性】
jy0921
09-29 4993
1. 数字证书CA 签发给用户,CA 保证它的安全和可靠性,使用CA的私钥对证书进行签名,使用 CA的公钥验证签名。 通过Java的代码演示,分别从 吾爱 网站下载了 它的末端证书、它的上级CA证书,以及 从 CSDN下载了 末端证书使用 吾爱的 上级CA 分别验证 吾爱的用户证书 和 CSDN的用户证书,查看区别。 package verify; import java....
02-HTTPS证书生成、验签 、证书
River的博客
11-11 1445
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
SM2证书验证(P7B)【含资源!见页首】
这么小声还想开军舰?!
12-11 1467
由上图可见,根证书于子级CA证书之前被导出,我们的证书验证模块读取顺序为先读取子级证书,再读取上级证书。故将导出的证书反序进入证书验签模块,即可完成对于证书中每个证书的数字签名的验证。如图上所示,证书中每个整数的基本证书域Tbs、签名值sign域能够借由上级证书的公钥实现验证,那么关于证书证书本身字段的合规性,以及根证书的真实性验证,可以查看。再为文件添加上-----BEGIN PKCS7-----,-----END PKCS7-----;SM2证书验证全过程见[GMSSL系列4]SM2证书验证
Certificate Chain (证书) 简述
O_o
07-14 4845
涉及 Certificate Chain.
PKI/CA数字证书技术大全
12-06
2. **认证授权机构(CA)**:CA是PKI中的关键角色,负责验证签发数字证书,确保证书持有者的身份真实可信。CA的职责包括证书的申请、审核、发放、撤销和更新。 3. **数字证书**:数字证书是一个包含公开密钥及其...
HebcaLoginDemo123_数字证书登录验证功能_
09-29
在IT行业中,数字证书登录验证功能是网络安全领域的重要一环,尤其在企业级应用和高安全性的系统中广泛使用。这个名为"HebcaLoginDemo123"的项目显然是一个演示了如何通过数字证书进行用户身份验证的示例。下面我们...
CA证书资源包(全版本通用)
12-15
这个文件通常是一个二进制格式的X.509数字证书,用于构建和验证信任,确保用户与服务器之间的通信安全。 **CA证书的工作原理:** 在网络安全中,CA证书扮演着信任中介的角色。当用户尝试访问一个网站时,浏览器会...
行业分类-设备装置-数字证书的生成和校验方法及设备.zip
09-10
5. **分发与安装**:用户收到CA签发数字证书后,将其安装在需要使用的设备或服务器上。 **数字证书的校验:** 1. **接收方获取证书**:当访问一个受保护的资源时,接收方会收到发送方的数字证书。 2. **验证证书...
生成带证书数字证书
fryingpan的专栏
10-20 4815
安全SSL通信双方如果都使用自签名证书,则需要把对方的证书加入到自己的信任证书库,如果是常见的C/S结构,则需要在服务器端信任证书中加入所有的客户端证书,管理非常不方便。 可以使用证书来实现,以简化管理,增加新的客户端无需修改服务器信任证书库。 1. http://sourceforge.net/projects/xca,下载证书生成工具,目前最新版为0.6.3,很多介绍都是使用opens
证书的基本原理
sky8336的博客
02-05 4891
证书的基本原理 证书: 由一串数字证书接而成 1、数字证书 数字证书: 用来认证公钥持有者身份合法性的电子文档,以防止第三方冒充行为。 由 CA(Certifacate Authority) 负责签发, 关键内容: 颁发者、证书有效期、使用者组织、使用者公钥 等信息。 PKI(Public Key Infrastructure) 规范体系,包含: 数字证书格式定义 密钥生命周期管理 数字签名及验证 问题: CA 是如何签发一张证书? 使用者如何验证证书?
什么是证书
最新发布
展望、进击
04-18 651
在数字世界中,证书是确保通信安全和数据完整性的关键结构。它构建了一个从受信任的根证书颁发机构(CA)到目标服务器证书的信任路径。本文将详细解释什么是证书,它是如何工作的,以及为什么它对保障网络安全至关重要。🌐🔍
CA证书合法性验证
qq_43402663的博客
05-01 2925
https连接建立 加密的三种方式 1.对称加密:一把密钥,密钥加密,密钥解密 2.非对称加密:两把密钥,一把加密,另一把解密。公开的那个叫公钥,自己留的叫私钥 3.hash加密:通过一种算法,把大量信息压缩映射成唯一的短字符,且通过这段字符不能反解出该大量信息 三个角色 未建立前分别都有什么信息 1.client:CA机构的公钥A,内置在系统中 2.server: 从CA机构申请的证书,和该证书对应得私钥B 3.CA机构:产生证书 CA证书有什么信息 1.文件包(公钥B,hash算法,用途,颁发
CA证书格式详解
N阶二进制的博客
12-08 1535
这两种格式是常见的,但还有其他格式,例如 DER(Distinguished Encoding Rules)格式。DER 是二进制编码的一种规范,通常使用扩展名。通常情况下,X.509 格式是更通用的格式,而PKCS#7 格式主要用于证书的传递。选择使用哪种格式取决于你的使用场景和系统要求。文件可能包含 Base64 编码的块,这取决于具体的应用和要求。文件通常是二进制格式,但。
.pfx加密私钥获取内容
郭郭的博客
06-14 1615
1), openssl pkcs12 -in 444444.pfx -nodes -out 777777.pem 输入私钥密码 .pem 文件可以直接打开 2)openssl pkcs12 -in 444444.pfx -nocerts -nodes -out 555555.key 输入密码 ...
openssl证书的校验过程
知识需要积累。
02-06 8740
 X509_STORE_CTX这个结构主要是用来校验证书用,一般都会使用X509_STORE这个已经设置好的对象来初始化X509_STORE_CTX,初始化函数如下: int X509_STORE_CTX_init(X509_STORE_CTX *ctx, X509_STORE *store, X509 *x509,     STACK_OF(X509) *chain) 
数字证书验证
weixin_30567225的博客
03-02 571
关于数字证书验证有很多文档,这里写一下我记录的文档。 我们获取到一张证书文件,如pfx,cer后缀的文件,我们如何保证我们获取的证书是正式CA机构颁发的,并且有完整证书,直到信任的根证书呢,下面就记录下一下C#代码来查询。 在c#中有这个类型X509Certificate2,我们将用这个类型来判断证书的有效性,包括但不限于验证证书是否完整、证书是否过期、证...
Java实现CA证书签名与验证:保障互联网安全的关键技术
2. 验证证书:客户端检查服务器证书是否由已知的CA签名,并且证书完整。 3. 检查证书有效性:验证证书的发行日期、过期日期、公钥算法等是否符合要求。 4. 检查数字签名:利用CA的公钥解密数字签名,确保其与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值