Java Tomcat SSL 服务端/客户端双向认证(一)

最新推荐文章于 2024-07-19 17:37:28 发布
最新推荐文章于 2024-07-19 17:37:28 发布
阅读量93 收藏
点赞数
文章标签: java python
原文链接:https://my.oschina.net/zhengweishan/blog/775322
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

一、什么是SSL

    SSL (Secure Sockets Layer) is a standard security technology for establishing an encrypted link between a server and a client—typically a web server (website) and a browser, or a mail server and a mail client (e.g., Outlook).

    

传输层安全协议(英语:Transport Layer Security,缩写TLS),及其前身安全套接层(Secure Sockets Layer,缩写SSL)是一种安全协议,目的是为互联网通信,提供安全及数据完整性保障。网景公司(Netscape)在1994年推出首版网页浏览器网景导航者时,推出HTTPS协议,以SSL进行加密,这是SSL的起源。IETF将SSL进行标准化,1999年公布了第一版TLS标准文件。随后又公布了 RFC 5246(2008年8月)与 RFC 6176 (2011年3月)。在浏览器电子邮件即时通信VoIP网络传真等应用程序中,广泛支持这个协议。主要的网站,如GoogleFacebook等也以这个协议来创建安全连接,发送数据。目前已成为互联网上保密通讯的工业标准。

SSL包含记录层(Record Layer)和传输层,记录层协议确定了传输层数据的封装格式。传输层安全协议使用X.509认证,之后利用非对称加密演算来对通信方做身份认证,之后交换对称密钥作为会谈密钥(Session key)。这个会谈密钥是用来将通信两方交换的数据做加密,保证两个应用间通信的保密性和可靠性,使客户与服务器应用之间的通信不被攻击者窃听。

二、双向认证

    1、客户端认证。

        客户端通过浏览器访问某一网站时,如果该网站为HTTPS网站,浏览器会自动检测系统中是否存在该网站的信任证书,如果没有信任证书,浏览器一般会拒绝访问,IE会有一个继续访问的链接,但地址栏是红色,给予用户警示作用,即客户端验证服务端并不是强制性的,可以没有服务端的信任证书,当然是否继续访问完全取决于用户自己。如何去除地址栏的红色警告呢?后续会介绍导入服务端证书到浏览器的方法。

    2、服务器端认证。

        服务端需要获取到客户端通过浏览器发送过来的认证证书,该证书在服务端的证书库中已存在,仅仅是个匹配过程,匹配成功即通过认证,可继续访问网站资源,反之则无法显示网页

三、证书制作 

相关连接:http://www.cnblogs.com/xdp-gacl/p/3750965.html

基本逻辑:
1、生成服务端密钥库并导出证书;
2、生成客户端密钥库并导出证书;
3、根据服务端密钥库生成客户端信任的证书;
4、将客户端证书导入服务端密钥库;
5、将服务端证书导入浏览器。

注意:服务端的密钥库参数“CN”必须与服务端的IP地址相同,否则会报错,客户端的任意。

使用java自带keytool生成密钥库和证书:

1、生成服务器证书库
keytool -validity 365 -genkey -v -alias server -keyalg RSA -keystore S:\ssl\server.keystore -dname "CN=127.0.0.1,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456

2、生成客户端证书库

keytool -validity 365 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore S:\ssl\client.p12 -dname "CN=client,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456

3、从客户端证书库中导出客户端证书
keytool -export -v -alias client -keystore S:\ssl\client.p12 -storetype PKCS12 -storepass 123456 -rfc -file S:\ssl\client.cer

keytool -export -v -alias client -keystore S:\ssl\client.p12 -storetype PKCS12 -storepass 123456 -rfc -file S:\ssl\client.crt

4、从服务器证书库中导出服务器证书

keytool -export -v -alias server -keystore S:\ssl\server.keystore -storepass 123456 -rfc -file S:\ssl\server.cer

5、生成客户端信任证书库(由服务端证书生成的证书库生成,后面会用到这个文件)

keytool -import -v -alias server -file S:\ssl\server.cer -keystore S:\ssl\client.truststore -storepass 123456

6、将客户端证书导入到服务器证书库(使得服务器信任客户端证书)

keytool -import -v -alias client -file S:\ssl\client.cer -keystore S:\ssl\server.keystore -storepass 123456

最后创建的文件如下:

转载于:https://my.oschina.net/zhengweishan/blog/775322

weixin_33885253
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android TLS1.2双向认证demo
08-15
在传统的SSL/TLS协议中,通常只有服务端会验证客户端,而双向认证则要求双方都提供有效的身份证明。 为了在Android客户端与PC服务端之间实施双向认证,我们需要以下步骤: 1. **证书生成**:首先,我们需要为...
TomcatWebService双向认证
04-04
TomcatWebService双向认证】指的是在使用Apache Tomcat服务器和Axis2框架构建Web服务时,实施的一种高级安全机制。这种认证方式要求客户端服务端都必须提供有效的身份凭证,以确保通信双方的身份得到验证,增强...
tomcatSSL客户端验证相关配置
wenhu93k的专栏
09-27 160
1,key配置: Windows: %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA Unix: $JAVA_HOME/bin/keytool -genkey -alias tomcat -keyalg RSA 注:在生成keystore文件的时候,需要将“您的名字与姓氏是什么”指定为网站域名,否则httpclient...
Java Tomcat SSL 服务端/客户端双向认证
wen19851025的专栏
11-10 89
Java Tomcat SSL 服务端/客户端双向认证(一) http://www.blogjava.net/icewee/archive/2012/06/04/379947.html
java实现 SSL双向认证
avery-leo
11-24 437
实现技术:JSSE(Java Security Socket Extension)是Sun为了解决在Internet上的实现安全信息传输的解决方案。它实现了SSL和TSL(传输层安全)协议。在JSSE中包含了数据加密,服务器验证,消息完整性和客户端验证等技术。通过使用JSSE,可以在Client和Server之间通过TCP/IP协议安全地传输数据。   为了实现消息认证。Server需要:1)Ke...
Tomcat证书配置(ssl客户端认证,内网证书)
IOT之无线网络传输技术
12-03 1721
场景说明:  tomcat 客户端证书认证 + 指定证书用户。 如内网证书验证(某些人员才有权限)   证书生成和双向证书配置这块网上资料很多,也很详细,大家可以 百度一下 1. 证书生成 服务端证书如果公司有购买的可以直接配置(天威诚信的官网有操作说明),如果没有可以自己生成(不过浏览器每次会弹出提示)。 客户端根证书,一般如果是内网根证书为 xxx.cer 文件。 可以直接和服务端
ssl双向认证密钥
04-21
SSL双向认证中,不仅服务器需要验证客户端的身份,客户端也需要验证服务器的身份,从而提供了更高级别的安全保护。这种模式通常在银行、企业内部网络或高度敏感的信息交换中使用。 在SSL双向认证中,涉及的主要...
基于Tomcat5.0的SSL双向调用
08-20
基于Tomcat5.0的Webservice SSL双向调用是指在Tomcat5.0服务器上实现Webservice的双向调用,使用SSL(Secure Sockets Layer)安全套接层保护客户端应用程序与Web服务之间的连接。下面是相关的知识点: 一、AXIS引擎...
Java后端Tomcat实现WebSocket实例教程
09-02
之后,客户端和服务器之间就建立了持久的TCP连接,可以双向交换数据。 在Java后端,实现WebSocket功能,我们可以利用Java EE 7中的JSR-356规范,它提供了一套API来简化WebSocket服务端的开发。Tomcat作为流行的Java...
Tomcat SSL配置及Tomcat CA证书安装
cuker919的专栏
05-24 1317
最近要做一个SSL的应用,用SSL进行双向身份验证意思就是在客户机连接服务器时,链接双方都要对彼此的数字证书进行验证,保证这是经过授权的才能够连接。我们链接一般的SSL时采用的是单向验证,客户机只验证服务器的证书,服务器不验证客户机的证书;而连接网上银行时使用的U盾就是用来存储进行双向验证所需要的客户端证书的。 Tomcat既可以作为独立的Servlet容器,也可以作为其他HTTP服务器附加...
OpenSSL实现服务端客户端双向认证
weixin_33785108的博客
09-27 173
OpenSSL 1.0.0生成p12、jks、crt等格式证书的命令个过程此生成的证书可用于浏览器、javatomcat、c++等。在此备忘! 1.创建根证私钥命令:openssl genrsa -out root-key.key 1024 2.创建根证书请求文件 命令:openssl req -new -out root-req.csr -key root-key.key -keyform ...
SSL/TLS单向双向认证原理
self_examination的专栏
07-26 7002
最近在搞一个项目,其中要用到安全传输,研究了下SSL/TLS单向双向认证。 1. SSL/TLS单向认证客户端认证服务器端身份,服务器端不对客户端进行认证 2. SSL/TLS双向认证客户端服务端都会互相认证,即双发之间要证书交换 一般的应用都是单向认证,如果场景中要求对客户源做认证可以实现双向认证,下边介绍双向认证过程认证过程SSL消息按如下顺序发送: 1. Clien
Java内存模型
最新发布
weixin_44267758的博客
07-19 355
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
day04:Redis和店铺营业状态设置
m0_69266818的博客
07-15 879
介绍了Redis命令和用java操作redis还有营业额状态接口的书写
JVM-垃圾回收与内存分配
m0_50846237的博客
07-19 728
JVM-垃圾回收与内存分配
Java算法】前缀和 下
2302_79806056的博客
07-18 935
这段代码实现了一个寻找数组中具有相等数量的0和1的最长子数组长度的算法。具体来说,它使用了前缀和(prefix sum)的概念以及哈希映射(HashMap)来优化查找过程。初始化哈希映射:计算前缀和:检查相等数量的0和1:更新哈希映射:返回结果:这种方法的时间复杂度为O(n),因为我们只遍历数组一次,并且对每个元素执行常数时间的操作。空间复杂度也是O(n),最坏情况下需要存储n个前缀和值。 初始化阶段:开始遍历数组:继续
tomcat ssl双向认证
07-29
Tomcat SSL双向认证是一种在Tomcat服务器上实现的安全认证机制。它通过使用SSL证书来确保服务器和客户端之间的双向身份验证和通信的安全性。 在此认证过程中,服务器和客户端都需要拥有有效的SSL证书。服务器端证书...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值