2. 程式人生 > >openssl制作雙向認證經過驗證可行

openssl制作雙向認證經過驗證可行

阿新 發佈:2017-05-04
nal p12 con .cn eth utf 修改 機構 user

openssl制作雙向認證經過驗證可行

http://www.360doc.com/content/12/0524/15/2150778_213390447.shtml

2012-05-24 履歷館

創建一個證書的步驟:

1)生成系統私鑰

2)生成待簽名證書

3)生成x509證書, CA私鑰進行簽名

4)導成瀏覽器支持的p12格式證書

備註:創建過程中如遇到unable to load local/user/openssl.cnf的情況,將openssl.cnf拷貝到openssl.exe所在的目錄下。

二:生成CA證書

目前不使用第三方權威機構的CA來認證,自己充當CA的角色。

1. 創建私鑰

openssl genrsa -out c:/ca/ca-key.pem 1024

2.創建證書請求

openssl req -new -out c:/ca/ca-req.csr -key c:/ca/ca-key.pem(如果出現:unable to load config info from /user/local/ssl/openssl.cnf

加上命令參數為:openssl req -config openssl.cnf -new -out c:/ca/ca-req.csr -key c:/ca/ca-key.pem

openssl.cnf 為全路徑,如果openssl.cnfopensll.exe同目錄下,則可寫為:

-config openssl.cnf

openssl req -config openssl.cnf -new -out c:/ca/ca-req.csr -key c:/ca/ca-key.pem)

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:bj

Locality Name (eg, city) []:bj

Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb

Organizational Unit Name (eg, section) []:tb

Common Name (eg, YOUR name) []:ca

Email Address []:[email protected]

Please enter the following ‘extra‘ attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

3.自簽署證書

openssl x509 -req -in c:/ca/ca-req.csr -out c:/ca/ca-cert.pem -signkey c:/ca/ca-key.pem -days 3650

4.將證書導出成瀏覽器支持的.p12格式

openssl pkcs12 -export -clcerts -in c:/ca/ca-cert.pem -inkey c:/ca/ca-key.pem -out c:/ca/ca.p12

密碼:123456

.生成server證書

1.創建私鑰

openssl genrsa -out c:/server/server-key.pem 1024

2.創建證書請求

openssl req -new -out c:/server/server-req.csr -key c:/server/server-key.pem

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:bj

Locality Name (eg, city) []:bj

Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb

Organizational Unit Name (eg, section) []:tb

Common Name (eg, YOUR name) []:localhost #此處一定要寫服務器所在ip

Email Address []:[email protected]

Please enter the following ‘extra‘ attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

3.自簽署證書

openssl x509 -req -in c:/server/server-req.csr -out c:/server/server-cert.pem -signkey c:/server/server-key.pem -CA c:/ca/ca-cert.pem -CAkey c:/ca/ca-key.pem -CAcreateserial -days 3650

openssl req -x509 -config E:\EDriver\Data\07_Task\10.Tibco\openssl\CONF\san.conf -newkey rsa:4096 -sha256 -nodes -out d:\temp\qareq.pem -outform PEM

keytool -importcert -file d:\temp\qareq.pem -keystore d:\temp\qareq.jks -alias "qaca"

==============

使用conf創建SAN Certification

san.conf

[ req ]
default_bits        = 1024
default_keyfile     = privkey.pem
distinguished_name  = req_distinguished_name
req_extensions     = req_ext # The extentions to add to the self signed cert

[ req_distinguished_name ]
countryName           = CN (2 letter code)
countryName_default   = CN
stateOrProvinceName   = Macao (full name)
stateOrProvinceName_default = Macao
localityName          = Macao (eg, city)
localityName_default  = Macao
organizationName          = VML (eg, company)
organizationName_default  = VML
commonName            = IT (eg, YOUR name)
commonName_max        = 64

[ req_ext ]
subjectAltName          = @alt_names

[alt_names]
DNS.1   = IPaddress1
DNS.2   = IPaddress2

openssl req -new -config CONF\san.conf -out server-req.csr -key server-key.pem

openssl x509 -req -in server-req.csr -out server-cert.pem -signkey server-key.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -days 3650

openssl pkcs12 -export -clcerts -in server-cert.pem -inkey server-key.pem -out server.p12

================

4.將證書導出成瀏覽器支持的.p12格式

openssl pkcs12 -export -clcerts -in c:/server/server-cert.pem -inkey c:/server/server-key.pem -out c:/server/server.p12

密碼:123456

.生成client證書(每個客戶端需要制作不同的客戶端證書,使用同一個CA來制作客戶端證書)

1.創建私鑰

openssl genrsa -out c:/client/client-key.pem 1024

2.創建證書請求

openssl req -new -out c:/client/client-req.csr -key c:/client/client-key.pem

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:bj

Locality Name (eg, city) []:bj

Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb

Organizational Unit Name (eg, section) []:tb

Common Name (eg, YOUR name) []:dong(填寫為客戶端機器IP)

Email Address []:[email protected]

Please enter the following ‘extra‘ attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

3.自簽署證書

openssl x509 -req -in c:/client/client-req.csr -out c:/client/client-cert.pem -signkey c:/client/client-key.pem -CA c:/ca/ca-cert.pem -CAkey c:/ca/ca-key.pem -CAcreateserial -days 3650

4.將證書導出成瀏覽器支持的.p12格式

openssl pkcs12 -export -clcerts -in c:/client/client-cert.pem -inkey c:/client/client-key.pem -out c:/client/client.p12

密碼:123456

.根據ca證書生成jks文件 (java keystore)

keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file c:/ca/ca-cert.pem

.配置tomcat ssl

修改conf/server.xmltomcat6中多了SSLEnabled="true"屬性。keystorefile, truststorefile設置為你正確的相關路徑

xml 代碼

tomcat 5.5的配置:

<Connector port="8443" maxHttpHeaderSize="8192"

maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

enableLookups="false" disableUploadTimeout="true"

acceptCount="100" scheme="https" secure="true"

clientAuth="true" sslProtocol="TLS"

keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"

truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS" />

tomcat6.0的配置:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

maxThreads="150" scheme="https" secure="true"

clientAuth="true" sslProtocol="TLS"

keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"

truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS"/>

七、測試(linux下)

openssl s_client -connect localhost:8443 -cert /home/ssl/c:/client/client-cert.pem -key /home/ssl/c:/client/client-key.pem -tls1 -CAfile /home/ssl/c:/ca/ca-cert.pem -state -showcerts

GET /index.jsp HTTP/1.0

八、導入證書

服務端導入server.P12 ca.p12證書

客戶端導入將ca.p12client.p12證書

IE中(打開IE->;Internet選項->內容->證書)

ca.p12導入至受信任的根證書頒發機構,client.p12導入至個人

Firefox中(工具-選項-高級-加密-查看證書-您的證書)

ca.p12client.p12均導入這裏

註意:ca,server,client的證書的common name(ca=ca,server=localhost,client=dong)一定不能重復,否則ssl不成功

九、tomcat應用程序使用瀏覽器證書認證

c:/server/webapps/manager/WEB-INF/web.xml中,將BASIC認證改為證書認證

<login-config>

<auth-method>CLIENT-CERT</auth-method>

<realm-name>Tomcat Manager Application</realm-name>

</login-config>

conf/tomcat-users.xml中填入下列內容

<?xml version=‘1.0‘ encoding=‘utf-8‘?>

<tomcat-users>

<role rolename="manager"/>

<role rolename="admin"/>

<role rolename="user"/>

<user username="[email protected], CN=dong, OU=tb, O=tb, L=bj, ST=bj, C=cn" password="null" roles="admin,user,manager"/>

</tomcat-users>

訪問http://localhost:8443即可驗證ssl是否成功

openssl制作雙向認證經過驗證可行

相關推薦

openssl雙向認證經過驗證可行

nal p12 con .cn eth utf 修改 機構 user openssl制作雙向認證經過驗證可行 http://www.360doc.com/content/12/0524/15/2150778_213390447.shtml 2012-05-24 履歷

使用Servlet簡單登錄驗證,response下載文件與網頁跳轉

servlet java tomcat http 制作一個登錄驗證:之前已經介紹過Servlet的開發,和HttpServletRequest、HttpServletResponse中的大部分常用方法。現在我們可以通過這幾個知識點制作一個簡單的登錄驗證,這個登錄驗證需要連接數據庫,因為用戶名和

在Java中使用openssl製作的雙向認證

一 建立根證書 1 生成根證書私鑰 openssl genrsa -des3 -out root.key 1024 密碼為:handwin1 2 生成根證書籤名請求檔案 openssl req -new -out root-req.csr -key root.key -k

Openssl建立SSL雙向認證連線原始碼

 (作者:陳波,2011-11-16,轉載請註明 Form:http://blog.csdn.net/jinhill/article/details/6979200)  #include "stdio.h" #include "string.h" #include "o

如何用Tomcat和Openssl構建HTTPS雙向認證環境(HTTPS客戶端認證

本文將介紹如何利用Tomcat的HTTPS功能,和一個自己建立的CA,來構建WEB伺服器證書和個人數字證書,最終建成一個HTTPS雙向認證環境(可以用於測試目的)。本文構建HTTPS雙向認證的業務流程大致如下:  1. 建立WEB伺服器公鑰金鑰,並生成伺服器證書請求。  2.

使用openssl命令ecc證書

key onf ecc 用戶 caf conf -o 生成 str # openssl ecparam -out EccCA.key -name prime256v1 -genkey # openssl req -config openssl.cnf -key EccCA.

圖片上傳,圖片加水印,驗證

全部 毫秒 字體 red 效果展示 eas mappath 畫圖 xmlns 文件上傳:   所用控件:FileUpload   使用時的思路:   1、判斷用戶是否選中了文件     FileUpload.FileName獲取選中的文件名,判斷長度,如果長度大於零就代表已

PHP實現驗證

php 驗證碼 captcha.php(PHP產生驗證碼並儲存Session):<?php //開啟Session session_start(); //繪制底圖 $image = imagecreatetruecolor(100, 30);//返回資源型的值 $bgcolor =

Https、OpenSSL自建CA證書及簽發證書、nginx單向認證雙向認證及使用Java訪問

1.5 image echo create etc 保存 config openss ima 0.環境 安裝了nginx,安裝了openssl 1.配置和腳本 先創建一個demo目錄(位置自己選擇,我選擇建在nginx的目錄下): mkdir /etc/nginx/

Jsp驗證

post aws 是否 過去的 jsp exception src and attr   驗證碼   驗證碼(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apa

C# webApi----H5_app後臺(1)--認證

pos ble 界面 enc 驗證 ins returns 簡單 eap 1,最近接到一個H5 ,app後臺的項目,想用webapi做後臺遇到了一些問題, (1)問題一:用戶的認證方式, 一、為什麽需要身份認證 在前言裏面,我們說了,如果沒有啟用身份認證,那麽任何匿名用戶只

大數據Clouder專項技能認證課程:Quick BI企業報表

preview quick 相同 客戶 http 圖表 列表 實驗 list 課程介紹 阿裏雲大學Clouder大數據專項技能認證:Quick BI企業報表制作 本認證課程可以幫助學員掌握圖形化報表設計、開發的方法,同時還將掌握搭建企業級報表門戶。通過報表門戶,將企業的數據

java 用Graphics模糊驗證

head sheet 由於 instance url rec alias stringbu html 這篇隨筆主要是java中制作驗證碼的效果,由於是在國慶前做的,現在也找不到原載了。我對自己整理的發表一份 生成的驗證碼效果如下: 一、建立一個工具類,用來生成驗證碼

使用Java驗證

使用java制作驗證碼驗證碼介紹 驗證碼(CAPTCHA)是“Completely Automated Public Turing test to tell Computers and Humans Apart”(全自動區分計算機和人類的圖靈測試)的縮寫,是一種區分用戶是計算機還是人的公共全自動程序。可以防

用Java一個簡單的圖片驗證

err 一個 graphic opera login new pri buffer image //Java實現簡單驗證碼功能 package project; import java.awt.Color; import java.awt.Font;import java.

利用Java編碼北京PK10平臺測試CSRF令牌驗證的Web API

內容 use exception dir tac java 提問 我們 java編碼 拙文是利用了Jmeter來測試北京PK10平臺制作(www.1159880099.com)QQ1159880099 帶有CSRF令牌驗證的Web API;最近幾天趁著項目不忙,練習了用編碼

js+canvas前端驗證

font ext ots char ack urn change context ++ <!DOCTYPE html> <html> <head> <meta charset="UTF-8">

php驗證

gef 文件 spa span 利用 mat mage content line php制作驗證碼 利用畫布制作驗證碼     function Vchar(){ //創建畫布 $image=imagecreatetru

雙向認證OPENSSL+Jboss7 (原創)

轉貼地址:http://xeseo.blog.163.com/blog/static/5632431620130825428120/ 在開始之前,首先來了解SSL。 SSL全稱Secure Socket Layer,它用來保證C/S之間傳輸的安全性。怎麼保證的呢?其實它提供了雙重保障: 1. Securi

原生JS驗證碼(優化)

set type function ons int value == span 標題 <!doctype html> <html> <head> <meta charset="utf-8"> <title>無標題