SSL 服务端/客户端双向认证 简单演示
演示之前我们要先生成客户端服务端证书,证书生成过程参见:
Java Tomcat SSL 服务端/客户端--双向证书生成
一、创建演示项目
一个简单的web项目:
说明:该演示项目强制使用了SSL,即普通的HTTP请求也会强制重定向为HTTPS请求,web.xml中添加如下配置如下:
<!-- 强制SSL配置,即普通的请求也会重定向为SSL请求 -->
<security-constraint>
<web-resource-collection>
<web-resource-name>TestCrt</web-resource-name>
<url-pattern>/*</url-pattern><!-- 全站使用SSL -->
</web-resource-collection>
<user-data-constraint>
<description>SSL required</description>
<!-- CONFIDENTIAL: 要保证服务器和客户端之间传输的数据不能够被修改,且不能被第三方查看到 -->
<!-- INTEGRAL: 要保证服务器和client之间传输的数据不能够被修改 -->
<!-- NONE: 指示容器必须能够在任一的连接上提供数据。(即用HTTP或HTTPS,由客户端来决定)-->
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>也可以去除,这样HTTP和HTTPS都可以访问。
二 、Tomat配置
使用文本编辑器编辑conf/server.xml
找到Connector port="8443"的标签,取消注释,并修改成如下:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="S:/ssl/server.keystore" keystorePass="123456"
truststoreFile="S:/ssl/server.keystore" truststorePass="123456"/>三、演示及配置
发布演示项目,通过浏览器访问:http://127.0.0.1:8081/TestCrt/或https://127.0.0.1:8443/TestCrt/,得到相同的结果,如图:
出现这样的原因是因为客户端没有通过服务端的安全认证,接下来将服务端给客户端颁发的证书导入到浏览器中,找到我们生成的:
client.p12双击安装。弹出安装向导如下图:
点击下一步:
继续下一步
输入我们的秘钥
继续下一步
继续下一步
点击完成
继续访问:http://127.0.0.1:8081/TestCrt/或https://127.0.0.1:8443/TestCrt/。
IE浏览器自动阻止了继续访问,并给予警告提示,原因是浏览器中未导入该网站的可信证书。
点击“继续浏览此网站”
鲜红的地址栏,够醒目吧!提示你访问的网站不安全!
如何解决这个问题呢?
从图可以看出,客户端并没有服务端那么严格,只要未通过验证就甭想访问,下面将服务端生成的信任证书导入到浏览器的根证书中,这样红色的地址栏就会消失了!
开始导入服务端信任证书,双击“server.cer”,导入到受信任的根证书机构中去。
点击安装证书,和上面的步骤一样,唯一不同的就是需要把证书导入可信任的如下图:
然后一直下一步,最后有这样的提示:
选择是
然后查看我们的证书是否导入,如何查看证书大家想必都知道,我这里就截图说明我们的证书已经安装了。
把所有浏览器窗口都关掉,再次访问网站,发现鲜红色已经逝去,多了一个小锁的图标。
一切正常了,双向认证的演示结束了!
2733
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
