keytool+tomcat配置HTTPS雙向認證認證

標籤：tomcat   word   xxxxx   需求   地址欄   windows系統   firefox   目錄   tomcat配置   

系統需求：

1、  Windows系統或Linux系統

2、  安裝並配置JDK 1.6.0_13

3、  安裝並配置Tomcat 6.0

一、伺服器憑證

1. 建立憑證存放區目錄“D:\home”，“運行”控制台，進入%JAVA_HOME%/bin目錄，使用keytool為Tomcat產生認證，假定目標機器的網域名稱是“localhost”，keystore檔案存放在“D:\home\tomcat.keystore”，口令為“password”，使用如下命令產生：

　　　keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500

 　　 

　　　(參數簡要說明：“D:\home\tomcat.keystore”含義是將認證檔案的儲存路徑，認證檔案名稱是tomcat.keystore ；“-validity 36500”含義是認證有效期間，36500　　表示100年，

　　　預設值是90天)

　　2. 在命令列填寫必要參數：

A、輸入keystore密碼：此處需要輸入大於6個字元的字串, 密碼我們統一使用“123456”，

B、“您的名字與姓氏是什嗎？”這是必填項，並且必須是TOMCAT部署主機的網域名稱或者IP[如：gbcom.com 或者 10.1.25.251]（就是你將來要在瀏覽器中輸入的訪問地址），否則瀏覽器會彈出警告視窗，提示使用者認證與所在域不匹配。在本地做開發測試時，應填入“localhost”。 我們名字與姓氏必需寫成“localhost XXXXXXXXXXXXXXXXXX”,其中“X”作為登入唯一標示

C、“你的組織單位名稱是什嗎？”、“您的組織名稱是什嗎？”、“您所在城市或地區名稱是什嗎？”、“您所在的州或者省份名稱是什嗎？”、“該單位的兩字母國家代碼是什嗎？”可以按照需要填寫也可以不填寫直接斷行符號，在系統詢問“正確嗎？”時，對照輸入資訊，如果符合要求則使用鍵盤輸入字母“y”，否則輸入“n”重新填寫上面的資訊

D、輸入<tomcat>的主密碼，這項較為重要，會在tomcat設定檔中使用，建議輸入與keystore的密碼一致，設定其它密碼也可以

 　　

　　3. 完成上述輸入後，直接斷行符號則在你在第二步中定義的位置找到產生的檔案，表示成功產生伺服器憑證

 　　

二、用戶端認證

1. 為瀏覽器產生認證，以便讓伺服器來驗證它。為了能將認證順利匯入至IE和Firefox，認證格式應該是PKCS12，因此，使用如下命令產生：

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12

 　　

　　2. 對應的認證庫存放在“D:\home\mykey.p12”，用戶端的CN可以是任意值。雙擊mykey.p12檔案，即可將認證匯入至瀏覽器（用戶端）。

　　

三、讓伺服器信任用戶端認證

1. 由於不能直接將PKCS12格式的認證庫匯入，必須先把用戶端認證匯出為一個單獨的CER檔案，使用如下命令：keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass password -rfc -file D:\home\mykey.cer
2. 用戶端認證就被我們匯出到“D:\home\mykey.cer”檔案了。下一步，是將該檔案匯入到伺服器的認證庫，添加為一個信任認證：keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore

3通過list命令查看伺服器的認證庫，可以看到兩個認證，一個是伺服器憑證，一個是受信任的用戶端認證：

keytool -list -keystore D:\home\tomcat.keystore

四、讓用戶端信任伺服器憑證

• 1. 由於是雙向SSL認證，用戶端也要驗證伺服器憑證，因此，必須把伺服器憑證添加到瀏覽的“可信任的根憑證授權單位”。由於不能直接將keystore格式的認證庫匯入，必須先把伺服器憑證匯出為一個單獨的CER檔案，使用如下命令：

keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer

 

五、配置Tomcat伺服器

　　C:\java\apache-tomcat-7.0.69\conf\server.xml

 　　

屬性說明：

• • clientAuth:設定是否雙向驗證，預設為false，設定為true代表雙向驗證
  • keystoreFile:伺服器憑證檔案路徑
  • keystorePass:伺服器憑證密碼
  • truststoreFile:用來驗證用戶端認證的根憑證，此例中就是伺服器憑證
  • truststorePass:根憑證密碼

六、測試

在瀏覽器中輸入:https://localhost:8443/，會彈出選擇用戶端認證介面，點擊“確定”，會進入tomcat首頁，地址欄後會有“鎖”表徵圖，表示本次會話已經通過HTTPS雙向驗證，接下來的會話過程中所傳輸的資訊都已經過SSL資訊加密。

　　

 

 參考連結：

79191930

7599969

https://www.cnblogs.com/SirSmith/p/4996392.html

 

 

 

keytool+tomcat配置HTTPS雙向認證認證