转:Java Tomcat SSL 服务端/客户端双向认证(一)

最新推荐文章于 2024-04-23 23:58:03 发布
最新推荐文章于 2024-04-23 23:58:03 发布
阅读量128 收藏
点赞数
分类专栏: Tomcat SSL 文章标签: SSL Tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spp_1987/article/details/84691500
版权

双向认证(个人理解):
客户端认证:
客户端通过浏览器访问某一网站时,如果该网站为HTTPS网站,浏览器会自动检测系统中是否存在该网站的信任证书,如果没有信任证书,浏览器一般会拒绝访问,IE会有一个继续访问的链接,但地址栏是红色,给予用户警示作用,即客户端验证服务端并不是强制性的,可以没有服务端的信任证书,当然是否继续访问完全取决于用户自己。如何去除地址栏的红色警告呢?后续会介绍导入服务端证书到浏览器的方法。

服务端认证:
服务端需要获取到客户端通过浏览器发送过来的认证证书,该证书在服务端的证书库中已存在,仅仅是个匹配过程,匹配成功即通过认证,可继续访问网站资源,反之则无法显示网页,后续有截图。

基本逻辑:
1、生成服务端密钥库并导出证书;
2、生成客户端密钥库并导出证书;
3、根据服务端密钥库生成客户端信任的证书;
4、将客户端证书导入服务端密钥库;
5、将服务端证书导入浏览器。

构建演示系统
演示环境:
JDK:1.6.0_32
Tomcat:apache-tomcat-7.0.27
开发工具:MyEclipse 10
浏览器:Internet Explorer 9

一、生成密钥库和证书
可参考以下密钥生成脚本,根据实际情况做必要的修改,其中需要注意的是:服务端的密钥库参数“CN”必须与服务端的IP地址相同,否则会报错,客户端的任意。
key.script

1 、生成服务器证书库

keytool  - validity  365   - genkey  - v  - alias server  - keyalg RSA  - keystore E :\ ssl \ server . keystore  - dname  " CN=127.0.0.1,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn "   - storepass  123456   - keypass  123456


2 、生成客户端证书库

keytool  - validity  365   - genkeypair  - v  - alias client  - keyalg RSA  - storetype PKCS12  - keystore E :\ ssl \ client . p12  - dname  " CN=client,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn "   - storepass  123456   - keypass  123456


3 、从客户端证书库中导出客户端证书

keytool  - export  - v  - alias client  - keystore E :\ ssl \ client . p12  - storetype PKCS12  - storepass  123456   - rfc  - file E :\ ssl \ client . cer


 4 、从服务器证书库中导出服务器证书

keytool  - export  - v  - alias server  - keystore E :\ ssl \ server . keystore  - storepass  123456   - rfc  - file E :\ ssl \ server . cer


 5 、生成客户端信任证书库(由服务端证书生成的证书库)

keytool  - import   - v  - alias server  - file E :\ ssl \ server . cer  - keystore E :\ ssl \ client . truststore  - storepass  123456


6 、将客户端证书导入到服务器证书库(使得服务器信任客户端证书)

keytool  - import   - v  - alias client  - file E :\ ssl \ client . cer  - keystore E :\ ssl \ server . keystore  - storepass  123456


7 、查看证书库中的全部证书

keytool  - list  - keystore E :\ ssl \ server . keystore  - storepass  123456



二、Tomat配置
使用文本编辑器编辑${catalina.base}/conf/server.xml
找到Connector port="8443"的标签,取消注释,并修改成如下:

< Connector  port ="8443"  protocol ="org.apache.coyote.http11.Http11NioProtocol"  SSLEnabled ="true"
               maxThreads ="150"  scheme ="https"  secure ="true"
               clientAuth ="true"  sslProtocol ="TLS"
               keystoreFile ="${catalina.base}/key/server.keystore"  keystorePass ="123456"
               truststoreFile ="${catalina.base}/key/server.keystore"  truststorePass ="123456" />


备注:
keystoreFile:指定服务器密钥库,可以配置成绝对路径,如“D:/key/server.keystore”,本例中是在Tomcat目录中创建了一个名称为key的文件夹,仅供参考。
keystorePass:密钥库生成时的密码
truststoreFile:受信任密钥库,和密钥库相同即可
truststorePass:受信任密钥库密码

三、建立演示项目
项目结构图:
项目名称:SSL(随意)


SSLServlet.java

package  com.icesoft.servlet;

 import  java.io.IOException;
 import  java.io.PrintWriter;
 import  java.security.cert.X509Certificate;

 import  javax.servlet.ServletException;
 import  javax.servlet.http.HttpServlet;
 import  javax.servlet.http.HttpServletRequest;
 import  javax.servlet.http.HttpServletResponse;

 /**
 * <p>
 * SSL Servlet
 * </p>
 * 
 * @author IceWee
 * @date 2012-6-4
 * @version 1.0
 */
public   class  SSLServlet  extends  HttpServlet  {

    private static final long serialVersionUID = 1601507150278487538L;
    private static final String ATTR_CER = "javax.servlet.request.X509Certificate";
    private static final String CONTENT_TYPE = "text/plain;charset=UTF-8";
    private static final String DEFAULT_ENCODING = "UTF-8";
    private static final String SCHEME_HTTPS = "https";

    public void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        response.setContentType(CONTENT_TYPE);
        response.setCharacterEncoding(DEFAULT_ENCODING);
        PrintWriter out = response.getWriter();
        X509Certificate[] certs = (X509Certificate[]) request.getAttribute(ATTR_CER);
        if (certs != null) {
            int count = certs.length;
            out.println("共检测到[" + count + "]个客户端证书");
            for (int i = 0; i < count; i++) {
                out.println("客户端证书 [" + (++i) + "]: ");
                out.println("校验结果:" + verifyCertificate(certs[--i]));
                out.println("证书详细:\r" + certs[i].toString());
            }
        } else {
            if (SCHEME_HTTPS.equalsIgnoreCase(request.getScheme())) {
                out.println("这是一个HTTPS请求,但是没有可用的客户端证书");
            } else {
                out.println("这不是一个HTTPS请求,因此无法获得客户端证书列表 ");
            }
        }
        out.close();
    }

    public void doPost(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        doGet(request, response);
    }
    
    /**
     * <p>
     * 校验证书是否过期
     * </p>
     * 
     * @param certificate
     * @return
     */
    private boolean verifyCertificate(X509Certificate certificate) {
        boolean valid = true;
        try {
            certificate.checkValidity();
        } catch (Exception e) {
            e.printStackTrace();
            valid = false;
        }
        return valid;
    }

}


web.xml
说明:该演示项目强制使用了SSL,即普通的HTTP请求也会强制重定向为HTTPS请求,配置在最下面,可以去除,这样HTTP和HTTPS都可以访问。

<? xml version="1.0" encoding="UTF-8" ?>
< web-app  version ="3.0"  
    xmlns ="http://java.sun.com/xml/ns/javaee"  
    xmlns:xsi ="http://www.w3.org/2001/XMLSchema-instance"  
    xsi:schemaLocation ="http://java.sun.com/xml/ns/javaee 
    http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd" >
       < display-name > Secure Sockets Layer </ display-name >     
    
     < servlet >
         < servlet-name > SSLServlet </ servlet-name >
         < servlet-class > com.icesoft.servlet.SSLServlet </ servlet-class >
     </ servlet >
     < servlet-mapping >
         < servlet-name > SSLServlet </ servlet-name >
         < url-pattern > /sslServlet </ url-pattern >
     </ servlet-mapping >
    
     < welcome-file-list >
       < welcome-file > index.jsp </ welcome-file >
     </ welcome-file-list >

     <!--  强制SSL配置,即普通的请求也会重定向为SSL请求  -->   
     < security-constraint >
         < web-resource-collection >
             < web-resource-name > SSL </ web-resource-name >
             < url-pattern > /* </ url-pattern > <!--  全站使用SSL  -->
         </ web-resource-collection >
         < user-data-constraint >
             < description > SSL required </ description >
             <!--  CONFIDENTIAL: 要保证服务器和客户端之间传输的数据不能够被修改,且不能被第三方查看到  -->
             <!--  INTEGRAL: 要保证服务器和client之间传输的数据不能够被修改  -->
             <!--  NONE: 指示容器必须能够在任一的连接上提供数据。(即用HTTP或HTTPS,由客户端来决定) -->
             < transport-guarantee > CONFIDENTIAL </ transport-guarantee >
         </ user-data-constraint >
     </ security-constraint >
</ web-app >



index.jsp

<% @ page language="java" pageEncoding="UTF-8" %>

<! DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" >
< html >
< head >
< title > 客户端证书上传 </ title >
< meta  http-equiv ="pragma"  content ="no-cache" >
< meta  http-equiv ="cache-control"  content ="no-cache" >
< meta  http-equiv ="expires"  content ="0" >     
 </ head >
< body >
< form  action ="${pageContext.request.contextPath}/sslServlet"  method ="post" >
     < input  type ="submit"   value ="提交证书" />
</ form >
</ body >
</ html >



四、演示及配置
发布演示项目,通过浏览器访问:http://127.0.0.1:8080/SSLhttps://127.0.0.1:8443/SSL,得到相同的结果,如图:






得到如上结果的原始是因为客户端没有通过服务端的安全认证,接下来将服务端给客户端颁发的证书导入到浏览器中:
双击“client.p12”



弹出窗口,下一步



默认,下一步



输入生成密钥时的密码“123456”,下一步



下一步



完成



成功



再次访问http://127.0.0.1:8080/SSLhttps://127.0.0.1:8443/SSL,弹出提示框:



点击确定后,IE浏览器自动阻止了继续访问,并给予警告提示,原因是浏览器中未导入该网站的可信证书





点击“继续浏览此网站”,弹出提示,点击确定



哇!鲜红的地址栏,够醒目吧!你访问的网站不安全那,亲!



点击“提交证书”按钮,返回正确结果!



可以看出,客户端并没有服务端那么严格,只要未通过验证就甭想访问,下面将服务端生成的信任证书导入到浏览器的根证书中,这样红色的地址栏就会消失了!
开始导入服务端信任证书,不能双击“server.cer”,需要手动导入到受信任的根证书机构中去。



浏览器Internet选项-内容-证书



点击“受信任的根证书颁发机构”



点击“导入”



下一步



手动选择“server.cer”,下一步






下一步



完成



点“是”




成功





可以看到我们刚刚导入的根证书



把所有浏览器窗口都关掉,再次访问网站,发现鲜红色已经逝去



点击“提交证书”按钮,一切正常了,双向认证的DEMO结束了!

Song
关注
专栏目录
Tomcat配置SSL
崔成龙 . 勇往直前
11-03 9804
本篇博文不讲概念,只介绍如何在Tomcat中配置SSL,以支持Https协议。如果图中与正文描述不符,以正文为主,部分图片是借鉴的。 一、创建证书        证书是单点登录认证系统中很重要的一把钥匙,客户端于服务器的交互安全靠的就是证书;这里由于是演示,所以就自己用JDK自带的keytool工具生成证书;如果以后真正在产品环境中使用肯定要去证书提供商去购买,证书认证
https+xml服务端/客户端java后台编写及soapUI https测试
热门推荐
Hsing Hsu's Blog
05-19 1万+
一、https+xml服务端编写 1.1 创建证书文件 1.1.1 创建服务器KeyStore
Java Tomcat SSL 服务端/客户端双向认证(一)
magic881213的专栏
08-06 1771
SSL——Secure Sockets Layer 双向认证(个人理解): 客户端认证客户端通过浏览器访问某一网站时,如果该网站为HTTPS网站,浏览器会自动检测系统中是否存在该网站的信任证书,如果没有信任证书,浏览器一般会拒绝访问,IE会有一个继续访问的链接,但地址栏是红色,给予用户警示作用,即客户端验证服务端并不是强制性的,可以没有服务端的信任证书,当然是否继续访问完全取决于用户
JAVA生成ssl证书,tomcat 中http和https双向配置
最新发布
qq_40147106的博客
04-23 329
服务器生成证书: 使用keytool为Tomcat生成证书,假定目标机器的域名是“127.0.0.1”,keystore文件存放在“D:omcat.keystore”,口令为“123456”,validity为证书有效时间当前为90天。命令:keytool -export -alias mykey -keystore D:ykekey.p12 -storetype PKCS12 -storepass 000000 -rfc -file D:ykekey.cer。
java应用tomcat实现https ssl安全连接的方法
wangking:开源世界,人人都用上了正版啦。。。
09-23 2824
 在这开始之前,我们得先了解一下什么是https。 https (Secure Hypertext Transfer Protocol) = 安全超文本传输协议 https的特点是: 1.数据加密(SSL) = Secure Socket Layer2.身份认证当你的项目需要考虑安全性的时候,部分模块可以用到https。当然这些都得到CA注册,要钱钱的哦。 
tomcat android 双向ssl通信
08-07
- **双向SSL认证**:不仅服务端需要认证客户端也需要提供证书以进行身份验证。这是一种更为安全的通信方式。 - **证书(Certificate)**:是公钥和身份信息绑定的数据结构,由权威的证书颁发机构(CA)签发。 - **...
Tomcat6配置使用SSL双向认证
09-14
### Tomcat6配置使用SSL双向认证 在网络安全领域,SSL(Secure Sockets Layer,安全套接层)协议及其后续版本TLS(Transport Layer Security,传输层安全)被广泛应用于保护网络通信的安全性和数据完整性。双向认证...
关于https的双向认证详解tomcat+java实现交叉验证
Ender__的专栏
06-18 3132
关于https的双向认证详解 原doc文档导出pdf https://github.com/enderwsp/share4u/raw/master/%E5%85%B3%E4%BA%8Ehttps%E7%9A%84%E5%8F%8C%E5%90%91%E8%AE%A4%E8%AF%81%E8%AF%A6%E8%A7%A3tomcat%2Bjava%E5%AE%9E%E7%8E%B0%E4%BA%...
Tomcat + SSL双向认证(用keytool创建的证书)
南歌的博客
04-22 456
步骤说明: 1、为Tomcat配置https配置CA证书 准备CA证书; 配置TomcatSSL连接器 2、通过 https 方式访问Web站点 实验过程: 1、创建自我签名的证书 Linux: 进入%JAVA_HOME%bin 目录: cd %JAVA_HOME%bin 在某个目录下生成.keystore文件(这里的目录是 /usr/local/...
JAVA实现的SSL/TLS双向认证源代码
02-02
压缩包里有客户端源码和服务器端源码,支持TCP的双向认证,也支持WEBSOCKET的双向认证,内附测试 wss的测试例子, 需要生成PKCS12的证书,导入浏览器才可以测试。
Java实现SSL双向认证的方法
09-01
主要介绍了Java实现SSL双向认证的方法,实例分析了ssl认证的原理与相关实现技巧,需要的朋友可以参考下
websocket双向连接
01-13
页面实现实时从服务器获取到发送的数据
SSL双向认证Java实现 Tomcat
程序猿的故事
09-15 1608
双向验证,在客户机连接服务器时,客户机验证服务器的证书,服务器验证客户机的证书,链接双方都要对彼此的数字证书进行验证,保证这是经过授权的才能够连接。 生成服务器端的keystore和truststore文件:1.1. 以jks格式生成服务器端包含Public key和Private Key的keystore文件,keypass与storepass务必要一样,因为在tomcat server.xml中
java socket实现一服务器多客户端相互通信的草稿
miucat的专栏
02-12 402
逐渐改吧,先这 么实现着。   服务器: import java.net.Socket; public class TcpIM { public static void main(String[] args) { // TODO Auto-generated method stub SendThread sth=new SendThread(); sth.start();...
java双向SSL的http请求(客户端
sea_box的博客
11-01 97
本代码采用socket请求restful webservice,使用POST修改其中的内容。 [code="java"]package com.iss.restfuldemo; import java.io.BufferedReader; import java.io.BufferedWriter; import java.io.FileInputStream; import jav...
国密SSL系列之Java编程
gmssl的博客
08-24 5237
1 背景 Java自身通过JCE和JSSE支持标准的SSL协议,但并不支持国密SSL协议。本文描述了Java使用国密JCE和国密JSSE开发一个简单的客户端程序,连接国密Web网站,发送HTTP请求,并接收HTTP应答。 2 环境 JRE是jre8。 国密JCE和国密JSSE。下载参https://www.gmssl.cn/gmssl/index.jsp?go=gmsdk gmjce.jar和gmjsse.jar放到jre的lib/ext/目录下 3 源码 package cn.gm...
国密https访问
fenglllle的博客
10-21 4635
现在的SSL的加密算法实际上主要是国际算法,包括JDK,Go等语言也仅支持国际算法加密(毕竟是国外开源项目),hash。随着国密算法的普及,比如openssl就支持国密了,还要新版本的Linux内核也开始支持,以openssl为例:那么如果需要国密证书,或者访问国密https的时候就需要特定的sslsocket的握手算法传输层密码协议(TLCP)GB/T 38636-2020:传输层密码协议该协议与TLS协议的最重大区别,就是要求通信端提供两个证书:认证证书和加密证书。
JAVA SSL SOCKET通信服务器端客户端证书双向认证
matt8的专栏
04-16 7246
浅谈基于SSL的Socket通信          在上一篇中提到的是客户端对于服务器的验证,即服务器是否可信。若希望配置双向认证的话,即当客户端信任服务器,向服务器发送数据,同样服务器也要判断客户端是否可信,则客户端也需要将其数字证书导入到服务器的密钥库中。          在上一篇中我们已经创建了服务器端的密钥库,并从其中导出了数字证书,客户端将服务器的数字证书导入到了自己的密钥库中,连
沃通电子认证Tomcat 6/7/8 SSL证书部署详解
本指南详细介绍了如何在Tomcat 6、7、8服务器上部署SSL证书以增强网站安全性。首先,你需要从深圳市沃通电子认证服务有限公司(WoSign)获取SSL证书。该公司是中国领先的中文数字证书提供商,提供forApache、forIIS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值