SSL双向认证(一)

最新推荐文章于 2024-07-02 07:51:42 发布
最新推荐文章于 2024-07-02 07:51:42 发布
阅读量1k 收藏
点赞数

1.
下载安装openSSL
(Linux)https://www.openssl.org/source/
(Windows)http://gnuwin32.sourceforge.net/packages/openssl.htm
(Windows)http://slproweb.com/products/Win32OpenSSL.html
配置环境
C:\Program Files\OpenSSL-Win64\bin

2.
创建CA私钥
openssl genrsa -out E:/Myca/ca-key.pem 1024

3.
创建证书请求
openssl req -new -out E:/Myca/ca-req.csr -key E:/Myca/ca-key.pem -config openssl.cnf
(C:\Program Files\OpenSSL-Win64\bin\cnf\openssl.cnf 没有自己去找样例的默认配置)

在YOUR name 处一定要填写项目布置服务器所属域名或ip地址

Country Name (2 letter code) [AU]:ch
State or Province Name (full name) [Some-State]:shanghai
Locality Name (eg, city) []:shanghai
Organization Name (eg, company) [Internet Widgits Pty Ltd]:alibaba
Organizational Unit Name (eg, section) []:alibabasoft
Common Name (e.g. server FQDN or YOUR name) []:192.168.134.96
Email Address []:666666666@qq.com

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:alibaba

4.
自签署证书
openssl x509 -req -in E:/Myca/ca-req.csr -out E:/Myca/ca-cert.pem -signkey E:/Myca/ca-key.pem -days 3650

Signature ok
subject=C = ch, ST = shanghai, L = shanghai, O = alibaba, OU = alibabasoft, CN =192.168.134.96,
emailAddress = 666666666@qq.com
Getting Private key

5.
导出ca证书(包含密钥)
openssl pkcs12 -export -clcerts -in E:/Myca/ca-cert.pem -inkey E:/Myca/ca-key.pem -out E:/Myca/ca.p12
导出ca证书(不含密钥)
openssl pkcs12 -export -nokeys -clcerts -in E:/Myca/ca-cert.pem -inkey E:/Myca/ca-key.pem -out E:/Myca/ca.p12

C:\Users\jack>openssl pkcs12 -export -nokeys -clcerts -in E:/Myca/ca-cert.pem -in
key E:/Myca/ca-key.pem -out E:/Myca/ca.p12
Enter Export Password:
Verifying - Enter Export Password:

注册服务端证书:

1.
创建服务端密钥库,别名:server,validity:有效期365天,密钥:算法RSA,storepass:密钥库密码,keypass:别名条码密码。
keytool -genkey -alias server -validity 3650 -keyalg RSA -keysize 1024 -keypass 123456 -storepass 123456 -keystore E:/Myca/server/server.jks

在名字和姓氏处填写项目布置服务器所属域名或ip地址。

C:\Users\jack>keytool -genkey -alias server -validity 3650 -keyalg RSA -keysize 1
024 -keypass 123456 -storepass 123456 -keystore E:/Myca/server/server.jks
您的名字与姓氏是什么?
192.168.134.96
您的组织单位名称是什么?
alibaba
您的组织名称是什么?
alibabasoft
您所在的城市或区域名称是什么?
shanghai
您所在的省/市/自治区名称是什么?
shanghai
该单位的双字母国家/地区代码是什么?
ch
CN=192.168.134.96, OU=alibaba, O=alibabasoft, L=shanghai, ST=shanghai, C=ch是否正确?
Y

2.
生成服务端证书
keytool -certreq -alias server -sigalg MD5withRSA -file E:/Myca/server/server.csr -keypass 123456 -keystore E:/Myca/server/server.jks -storepass 123456
(Keytool 在jdk bin目录下)

3.
使用CA的密钥生成服务端密钥,使用CA签证
openssl x509 -req -in E:/Myca/server/server.csr -out E:/Myca/server/server.pem -CA E:/Myca/ca-cert.pem -CAkey E:/Myca/ca-key.pem -days 3650 -set_serial 1

C:\Users\jack>openssl x509 -req -in E:/Myca/server/server.csr -out E:/Myca/server
/server.pem -CA E:/Myca/ca-cert.pem -CAkey E:/Myca/ca-key.pem -days 3650 -set_se
rial 1
Signature ok
subject=C = ch, ST = shanghai, L = shanghai, O = alibabasoft, OU = alibaba, CN = 192.168.134.96
Getting CA Private Key

4.
使密钥库信任证书
keytool -import -v -trustcacerts -keypass 123456 -storepass 123456 -alias root -file E:/Myca/ca-cert.pem -keystore E:/Myca/server/server.jks

C:\Users\jack>keytool -import -v -trustcacerts -keypass 123456 -storepass 123456
-alias root -file E:/Myca/ca-cert.pem -keystore E:/Myca/server/server.jks
所有者: EMAILADDRESS=666666666@qq.com, CN=192.168.134.96, OU=alibabasoft, O=alib
aba, L=shanghai, ST=shanghai, C=ch
发布者: EMAILADDRESS=666666666@qq.com, CN=192.168.134.96, OU=alibabasoft, O=alib
aba, L=shanghai, ST=shanghai, C=ch
序列号: 8c14079cfc3c8c6d
有效期开始日期: Thu Aug 16 11:22:13 CST 2018, 截止日期: Sun Aug 13 11:22:13 CST
2028
证书指纹:
MD5: AE:FB:B9:F0:62:A1:2E:B4:99:FA:71:75:33:9E:51:5F
SHA1: 55:85:B9:8D:54:FA:B4:54:2A:03:83:13:86:11:DB:E8:6A:77:B3:68
SHA256: 6E:A3:7E:62:50:B4:C9:11:E6:6B:8C:40:15:66:CC:E2:EB:BF:7C:03:71:
FE:D6:A3:6B:91:3A:B0:D9:72:5C:64
签名算法名称: SHA256withRSA
版本: 1
是否信任此证书? [否]: Y
证书已添加到密钥库中
[正在存储E:/Myca/server/server.jks]

5.
将证书回复安装在密钥库中
keytool -import -v -trustcacerts -storepass 123456 -alias server -file E:/Myca/server/server.pem -keystore E:/Myca/server/server.jks

C:\Users\jack>keytool -import -v -trustcacerts -storepass 123456 -alias server -f
ile E:/Myca/server/server.pem -keystore E:/Myca/server/server.jks
证书回复已安装在密钥库中
[正在存储E:/Myca/server/server.jks]

6.
生成服务端servertrust.jks信任库
keytool -import -alias server-ca-trustcacerts -file E:/Myca/ca-cert.pem -keystore E:/Myca/server/servertrust.jks

C:\Users\jack>keytool -import -alias server-ca-trustcacerts -file E:/Myca/ca-cert
.pem -keystore E:/Myca/server/servertrust.jks
输入密钥库口令:
再次输入新口令:
所有者: EMAILADDRESS=666666666@qq.com, CN=192.168.134.96, OU=alibabasoft, O=alib
aba, L=shanghai, ST=shanghai, C=ch
发布者: EMAILADDRESS=666666666@qq.com, CN=192.168.134.96, OU=alibabasoft, O=alib
aba, L=shanghai, ST=shanghai, C=ch
序列号: 8c14079cfc3c8c6d
有效期开始日期: Thu Aug 16 11:22:13 CST 2018, 截止日期: Sun Aug 13 11:22:13 CST
2028
证书指纹:
MD5: AE:FB:B9:F0:62:A1:2E:B4:99:FA:71:75:33:9E:51:5F
SHA1: 55:85:B9:8D:54:FA:B4:54:2A:03:83:13:86:11:DB:E8:6A:77:B3:68
SHA256: 6E:A3:7E:62:50:B4:C9:11:E6:6B:8C:40:15:66:CC:E2:EB:BF:7C:03:71:
FE:D6:A3:6B:91:3A:B0:D9:72:5C:64
签名算法名称: SHA256withRSA
版本: 1
是否信任此证书? [否]: Y
证书已添加到密钥库中

注册客户端证书

1.
创建客户端密钥,指定用户名,下列命令中的user将替换为颁发证书的用户名
openssl genrsa -out E:/Myca/client/user-key.pem 1024

2.
openssl req -new -out E:/Myca/client/user-req.csr -key E:/Myca/client/user-key.pem

C:\Users\jack>openssl req -new -out E:/Myca/client/user-req.csr -key E:/Myca/client/user-key.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
you enter ‘.’, the field will be left blank.

Country Name (2 letter code) [AU]:ch
State or Province Name (full name) [Some-State]:shanghai
Locality Name (eg, city) []:shanghai
Organization Name (eg, company) [Internet Widgits Pty Ltd]:alibaba
Organizational Unit Name (eg, section) []:alibabasoft
Common Name (e.g. server FQDN or YOUR name) []:192.168.134.96
Email Address []:111111@qq.com

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:unkown

3.
生成对应用户名的客户端证书,并使用CA签证
openssl x509 -req -in E:/Myca/client/user-req.csr -out E:/Myca/client/user-cert.pem -signkey E:/Myca/client/user-key.pem -CA E:/Myca/ca-cert.pem -CAkey E:/Myca/ca-key.pem -CAcreateserial -days 3650

C:\Users\jack>openssl x509 -req -in E:/Myca/client/user-req.csr -out E:/Myca/clie
nt/user-cert.pem -signkey E:/Myca/client/user-key.pem -CA E:/Myca/ca-cert.pem -C
Akey E:/Myca/ca-key.pem -CAcreateserial -days 3650
Signature ok
subject=C = ch, ST = shanghai, L = shanghai, O = alibaba, OU = alibabasoft, CN =
192.168.134.96, emailAddress = 111111@qq.com
Getting Private key
Getting CA Private Key

4.
将签证之后的证书文件user-cert.pem导出为p12格式文件(p12格式可以被浏览器识别并安装到证书库中)

C:\Users\jack>openssl pkcs12 -export -clcerts -in E:/Myca/client/user-cert.pem -inkey E:/Myca/client/user-key.pem -out E:/Myca/client/user.p12
Enter Export Password:
Verifying - Enter Export Password:

5.
将签证之后的证书文件user-cert.pem导入至信任秘钥库中(这里由于没有去ca认证中心购买个人证书,所以只有导入信任库才可进行双向ssl交互

E:\Program Files\java\bin>keytool -import -alias user -trustcacerts -file E:/Myca/client/user-cert.pem -keystore E:/Myca/server/servertrust.jks
输入密钥库口令:
证书已添加到密钥库中

6.
E:\Program Files\java\bin>keytool -list -v -alias user -keystore E:/Myca/server/servertrust.jks -storepass 123456
别名: user
创建日期: 2018-8-20
条目类型: trustedCertEntry

所有者: EMAILADDRESS=111111@qq.com, CN=192.168.134.96, OU=alibabasoft, O=alibaba
, L=shanghai, ST=shanghai, C=ch
发布者: EMAILADDRESS=666666666@qq.com, CN=192.168.134.96, OU=alibabasoft, O=alib
aba, L=shanghai, ST=shanghai, C=ch
序列号: 967626e1c519a369
有效期开始日期: Thu Aug 16 18:05:15 CST 2018, 截止日期: Sun Aug 13 18:05:15 CST
2028
证书指纹:
MD5: DF:D6:AC:94:38:6F:FC:DC:6A:A6:6F:58:9C:6F:CE:44
SHA1: 43:53:7E:53:E3:8F:E9:9F:B0:ED:A0:ED:A4:02:0A:EE:2C:F9:0B:F5
SHA256: BF:3B:C4:CA:55:A5:0D:39:55:69:AA:99:DE:C0:B2:C2:D0:14:18:45:F5:
9F:D4:8D:05:D2:F9:33:A7:49:DC:4C
签名算法名称: SHA256withRSA
版本: 1

<转 : https://blog.csdn.net/lizhi_java/article/details/42875439>

折跃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSL Socket 双向认证
u014548782的专栏
04-13 3623
一、简介
SSL双向认证SSL双向认证
03-02
SSL(Secure Sockets Layer)双向认证...总的来说,SSL双向认证是一种强大的安全措施,它可以提供更高的信任度和数据保护,但同时也带来了额外的配置和管理挑战。在选择实施双向认证时,应根据实际需求和环境进行权衡。
SSL双向认证
YoooKnight的博客
08-28 1460
概念 首先要有一个CA根证书,然后用CA根证书来签发用户证书 用户进行证书申请:一般先生成一个私钥,然后用私钥生成证书请求(证书请求里应包含有公钥信息),再利用证书服务器的CA根证书来签发证书 文件 key:私有的密钥 pem:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式。 csr:证书签名请求(证书请求文件),含有公钥信息,certificate signing requ...
一文读懂SSL认证全解析
最新发布
sunxunyong的博客
07-02 994
storepasswd 修改keystore口令 keytool -storepasswd -keystore e:/yushan.keystore(需修改口令的keystore) -storepass 123456(原始密码) -new yushan(新密码)-export 将别名指定的证书导出到文件 keytool -export -alias 需要导出的别名 -keystore 指定keystore -file 指定导出的证书位置及证书名称 -storepass 密码。
ssl双向认证
bijingliang的博客
03-15 1021
ssl双向认证 (结合网上查找资料,关于ssl双向认证现整理如下:) 双向认证:服务端和客户端各有一个密钥对(私钥+公钥),客户端持有自己的私钥和服务端的公钥,服务端持有自己的私钥和客户端的公钥; tomcat server.xml相应配置: <Connector port="8443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
TOMCAT-SSL双向认证-配置实例
热门推荐
nimmy的专栏
04-15 2万+
SSL (Secure Socket Layer - 安全套接字层)功能:保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,确保数据在网络上之传输过程中不会被截取及窃听,防止篡改。 如何让我们的WEB应用程序应用SSL安全保障?经过几天摸索,终于实现 TOMCAT+SSL 双向认证,也就是说,首先,客户端将要认证服务器的安全性,确保访问的是正确的服务
对称加密算法
盐碘
03-09 1321
 对称加密算法 对称加密算法是应用较早的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道
易语言SSL双向认证
08-20
易语言SSL双向认证是针对网络通信安全的一种实现方式,它主要应用于需要高度安全性的网络通信场景,例如在线交易、敏感信息传输等。SSL(Secure Socket Layer)是安全套接层的缩写,现在通常指的是其升级版TLS...
SSL双向认证.rar
04-05
SSL(Secure Sockets Layer)是一种广泛使用的网络安全协议,它的...通过理解以上概念,你可以更好地理解SSL双向认证的工作原理,并能根据提供的易语言源码进行学习和实践,从而掌握如何在实际应用中实现这一安全机制。
Java实现SSL双向认证的方法
09-01
Java中的SSL双向认证是一种安全通信机制,用于确保服务器和客户端之间的通信不仅加密,而且双方的身份都得到验证。这种机制在需要高安全性交互的应用场景中,如金融交易、企业内部网络通信等,尤其重要。 SSL...
ssl双向认证_详解TLS/SSL运行机制
weixin_39827850的博客
12-08 474
TLS传输层安全性协议(Transport Layer Security)及其前身SSL安全套接层(Secure Sockets Layer)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障,TLS/SSL协议位于网络OSI七层模型的会话层,用来加密通信。TLS/SSL握手过程 第一步,客户端(Client)以明文的形式发起请求信息(client_hello),其中信息包含; 客户端生...
SSL双向认证握手过程 非常详细
08-03
SSL双向认证握手过程 非常详细
IOS,Android SSL双向认证HTTPS方式请求及配置证书
10-14
IOS,Android SSL双向认证HTTPS方式请求及配置证书
SSL双向认证与单向认证
m0_51514815的博客
05-29 5419
参考:https://www.cnblogs.com/bluestorm/p/10571989.html整理双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书。
Netty SSL双向验证
crazy_rays的专栏
05-29 1404
server端:ca.crt、server.crt、pkcs8_server.key。client端:ca.crt、client.crt、pkcs8_client.key。
SSL证书实现双向认证的方法
SSL加密技术
07-06 3330
SSL/TLS证书用于保护用户浏览器和网站服务器之间的数据传输。当大多数人谈到这些证书时,一般指的是服务器证书,它用于对服务器进行客户机身份验证。但是,如果需要执行客户机身份验证,即希望对浏览器进行客户机身份验证,该怎么办?这就是双向SSL证书(或“双向SSL”)派上用场的地方。 为什么需要使用双向SSL证书?因为当使用这两种类型的证书时,它促进了双方之间的相互身份验证。双向SSL证书与标准SSL证书不同,双向SSL证书实际上称为个人身份验证证书(PAC)。 在了解了双向SSL证书之后,接下来我们进一步
SSL双向认证出现了一些问题,换个方式再试试看
mxl0632的专栏
01-19 378
SSL双向认证,公钥加密技术12号标准(Public Key Cryptography Standards #12,PKCS#12)为存储和传输用户或服务器私钥、公钥和证书指定了一个可移植的格式。密钥库文件格式【Keystore】格式: PKCS12扩展名 :.p12/.pfx描述:【PKCS #12】个人信息交换语法标准特点:1、包含私钥、公钥及其证书以下2种方式可以获取到p12格式证书通过jks证书格式转换指令通过工具导出(KeyManager)
SSL的单向认证双向认证
小小默:进无止境
01-29 2249
【1】SSL协议 SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。 SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。 SSL协议可分为两层: SSL记录协议(SSL Recor
SSL认证:单向认证双向认证
glowd的专栏
04-17 1143
SSL协议说明 SSL协议既用到了对称加密也用到了非对称加密, 在建立传输链路时,SSL首先对对称加密的密钥使用非对称加密 链路建立好之后,SSL对传输内容使用对称加密。 对称加密和非对称加密 对称加密:只有私钥,速度高,可加密内容较大,用来加密会话过程中的消息 非对称加密:既有公钥也有私钥,加密速度较慢,但能提供更好的身份认证技术,用来加密对称加密的密钥 SSL单向认证过程 具体过程:...
WEB服务器SSL双向认证配置指南
"WEB服务器SSL双向认证安装使用指南,由上海数字证书认证中心有限公司提供,详细阐述了如何进行WEB服务器证书的申请、安装、备份、恢复以及SSL双向认证的配置。文档作者为闻剑峰,版本1.1,涵盖了从CSR文件的生成到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值