2. 程式人生 > >SSL:用Keytool生成和簽發數字證書

SSL:用Keytool生成和簽發數字證書

阿新 發佈:2019-02-13

伺服器端需要設定javax.net.ssl.keyStore/javax.net.ssl.keyStorePassword兩個系統引數

而客戶端需要設定javax.net.ssl.trustStore/javax.net.ssl.trustStorePassword兩個系統引數

參考:

證書是用java keytool生成的,如下:

1.生成服務端證書

假定目標機器的域名是“10.10.20.35”。

如果Tomcat所在伺服器的域名不是“10.10.20.35”,應改為對應的域名,如“www.sina.com.cn”,否則瀏覽器會彈出警告視窗,提示使用者證書與所在域不匹配。在本地做開發測試時,應填入“localhost”。

keytool -genkey -v -alias server -keyalg RSA -keystore C:/Users/zcy/Desktop/ssl/server.keystore -dname "CN=10.10.20.35,OU=Tongtech,O=Tongtech,L=SiChuan,ST=SiChuan,C=CN" -validity 3650 -storepass 123456 -keypass 123456

2.匯出服務端證書
keytool -export -alias server -keystore C:/Users/zcy/Desktop/ssl/server.keystore -storepass 123456 -rfc -file C:/Users/zcy/Desktop/ssl/server.cer

3.生成客戶端證書
keytool -genkey -v -alias client -keyalg RSA -keystore C:/Users/zcy/Desktop/ssl/client.keystore -dname "CN=client,OU=Tongtech,O=Tongtech,L=SiChuan,ST=SiChuan,C=CN" -validity 3650 -storepass 123456 -keypass 123456

4.匯出客戶端證書

由於是雙向SSL認證,伺服器必須要信任客戶端證書,因此,必須把客戶端證書新增為伺服器的信任認證。由於不能直接將PKCS12格式的證書庫匯入,我們必須先把客戶端證書匯出為一個單獨的CER檔案。

其中storepass 為client.keystore 生成過程設定的密碼。

keytool -export -alias client -keystore C:/Users/zcy/Desktop/ssl/client.keystore -storepass 123456 -rfc -file C:/Users/zcy/Desktop/ssl/client.cer

5.把客戶端證書加入服務端證書信任列表

通過以上命令,客戶端證書就被我們匯出到client.cer檔案了。下一步,是將該檔案匯入到伺服器的證書庫,新增為一個信任證書:

keytool -import -file C:/Users/zcy/Desktop/ssl/client.cer -storepass 123456 -keystore C:/Users/zcy/Desktop/ssl/server.truststore -alias client

通過list命令檢視伺服器的證書庫,我們可以看到兩個輸入,一個是伺服器證書,一個是受信任的客戶端證書:
keytool -list -keystore server.truststore


6.生成客戶端信任列表 (客戶端信任的服務端)
keytool -import -file C:/Users/zcy/Desktop/ssl/server.cer -storepass 123456 -keystore C:/Users/zcy/Desktop/ssl/client.truststore -alias server

1.瀏覽器證書(已可正常訪問)

瀏覽器生成證書,以便讓伺服器來驗證它。為了能將證書順利匯入至IE和Firefox,證書格式應該是PKCS12。

客戶端的CN可以是任意值。

keytool -validity 365 -genkeypair -v -alias browser -keyalg RSA -storetype PKCS12 -keystore C:/Users/zcy/Desktop/ssl/browser.p12 -dname "CN=browser,OU=Tongtech,O=Tongtech,L=SiChuan,ST=SiChuan,c=cn" -storepass 123456 -keypass 123456

2、從客戶端證書庫中匯出客戶端證書
keytool -export -v -alias browser -keystore C:/Users/zcy/Desktop/ssl/browser.p12 -storetype PKCS12 -storepass 123456 -rfc -file C:/Users/zcy/Desktop/ssl/browser.cer

3、將客戶端證書匯入到伺服器證書庫(使得伺服器信任客戶端證書)
keytool -import -v -alias browser -file C:/Users/zcy/Desktop/ssl/browser.cer -keystore C:/Users/zcy/Desktop/ssl/server.truststore -storepass 123456

keytool -list -keystore C:/Users/zcy/Desktop/ssl/server.truststore -storepass 123456

###################################################################

證書儲存在伺服器端,使用者通過瀏覽器訪問時,需要將證書下載儲存到本地,表示信任伺服器。同樣瀏覽器中的證書也需要儲存到伺服器的證書庫中,表明當前瀏覽器的證書是可信的。
        環境:tomcat-6.0.18、jdk1.6.0_18 
1. 為伺服器生成證書
        使用keytool為Tomcat生成證書,假定目標機器的域名是"localhost",keystore 檔案存放在"e:\keytool\tomcat.keystore",口令為"aaaaaaa",使用如下命令生成: 

Java程式碼  收藏程式碼
  1. keytool -genkeypair -v -alias tomcat -keyalg RSA -keystore e:\keytool\tomcat.keystore -dname "CN=localhost,OU=hansky,O=cr,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa  
生成證書提示程式碼  收藏程式碼
  1. 正在為以下物件生成 1,024 位 RSA 金鑰對和自簽名證書 (SHA1withRSA)(有效期為 90 天):  
  2. CN=localhost, OU=hansky, O=cr, ST=bj, C=zh_cn  
  3. [正在儲存 e:\keytool\tomcat.keystore]  

        如果Tomcat所在伺服器的域名不是"localhost",應改為對應的域名,如"www.sina.com.cn",否則瀏覽器會彈出警告視窗,提示使用者證書與所在域不匹配。在本地做開發測試時,應填入"localhost"。 
2. 生成客戶端證書
        為瀏覽器生成證書,以便讓伺服器來驗證它。為了能將證書順利匯入至IE和Firefox,證書格式應該是PKCS12,因此,使用如下命令生成: 
 Java程式碼  收藏程式碼
  1. keytool -genkeypair -v -alias lcl -keyalg RSA -storetype PKCS12 -keystore e:\keytool\lcl.p12 -dname "CN=lcl,OU=lc,O=r,L=bj,ST=bj,C=zh_cn" -storepass aaaaaaa -keypass aaaaaaa  
生成證書提示程式碼  收藏程式碼
  1. 正在為以下物件生成 1,024 位 RSA 金鑰對和自簽名證書 (SHA1withRSA)(有效期為 90 天):  
  2.     CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn  
  3. [正在儲存 e:\keytool\lcl.p12]  

        對應的證書庫存放在"e:\keytool\lcl.p12",客戶端的CN可以是任意值。稍候,我們將把這個"my.p12"證書庫匯入到IE和Firefox中。 
3. 讓伺服器信任客戶端證書
        由於是雙向SSL認證,伺服器必須要信任客戶端證書,因此,必須把客戶端證書新增為伺服器的信任認證。由於不能直接將PKCS12格式的證書庫匯入,我們必須先把客戶端證書匯出為一個單獨的CER檔案,使用如下命令: 
 Java程式碼  收藏程式碼
  1. keytool -exportcert -alias lcl -keystore e:\keytool\lcl.p12 -storetype PKCS12 -storepass aaaaaaa -rfc -file e:\keytool\lcr.cer  
匯出證書程式碼  收藏程式碼
  1. 儲存在檔案中的認證 <e:\keytool\lcr.cer>  

        通過以上命令,客戶端證書就被我們匯出到"e:\keytool\lcr.cer"檔案了。下一步,是將該檔案匯入到伺服器的證書庫,新增為一個信任證書: 
 Java程式碼  收藏程式碼
  1. keytool -importcert -v -file e:\keytool\lcr.cer -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa  
匯入證書的提示程式碼  收藏程式碼
  1. 所有者:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn  
  2. 簽發人:CN=lcl, OU=lc, O=r, L=bj, ST=bj, C=zh_cn  
  3. 序列號:4cd90399  
  4. 有效期: Tue Nov 09 16:17:29 CST 2010 至Mon Feb 07 16:17:29 CST 2011  
  5. 證書指紋:  
  6.          MD5:A4:BB:D1:E6:35:60:22:CC:DC:EF:6E:D9:B0:5C:2C:C7  
  7.          SHA1:12:90:4B:7A:C0:D8:EB:CC:7B:A7:15:8A:05:46:AC:F7:AE:BF:0E:62  
  8.          簽名演算法名稱:SHA1withRSA  
  9.          版本: 3  
  10. 信任這個認證? [否]:  y  
  11. 認證已新增至keystore中  
  12. [正在儲存 e:\keytool\tomcat.keystore]  

        通過list 命令檢視伺服器的證書庫,我們可以看到兩個輸入,一個是伺服器證書,一個是受信任的客戶端證書: 
 Java程式碼  收藏程式碼
  1. keytool -list -v -keystore e:\keytool\tomcat.keystore -storepass aaaaaaa  

4. 將e:\keytool\tomcat.keystore拷貝到tomcat的根目錄下,我拷貝到c:\tomcat(這是我的tomcat安裝目錄)下
        5. 配置tomcat 
        開啟Tomcat根目錄下的/conf/server.xml,找到如下配置段,修改如下: 
 Server.xml程式碼  收藏程式碼
  1. <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
  2.            maxThreads="150" scheme="https" secure="true"                
  3.            clientAuth="true" sslProtocol="TLS"  
  4.            keystoreFile="tomcat.keystore" keystorePass="aaaaaaa"  
  5.            truststoreFile="tomcat.keystore" truststorePass="aaaaaaa"/>  

        其中,clientAuth 指定是否需要驗證客戶端證書,如果該設定為"false",則為單向SSL驗證,SSL 配置可到此結束。如果clientAuth設定為"true",表示強制雙向SSL驗證,必須驗證客戶端證書。如果clientAuth設定為"want",則表示可以驗證客戶端證書,但如果客戶端沒有有效證書,也不強制驗證。 
6. 匯入客戶端證書
        如果設定了clientAuth="true",則需要強制驗證客戶端證書。雙擊"e:\keytool\lcl.p12"即可將證書匯入至IE,匯入證書後,即可啟動Tomcat,用IE 進行訪問。如果需要用FireFox 訪問,則需將證書匯入至FireFox。 
7. 測試
 測試程式碼  收藏程式碼
  1. https://localhost:8443/  

相關推薦

SSLKeytool生成簽發數字證書

伺服器端需要設定javax.net.ssl.keyStore/javax.net.ssl.keyStorePassword兩個系統引數 而客戶端需要設定javax.net.ssl.trustStore/javax.net.ssl.trustStorePassword

《程式設計珠璣》程式碼之路18點陣圖“箱”更快更省空間地儲存查詢數字

有一個看起來很簡單的問題:如何儲存一波隨機整數,使得查詢和儲存效率儘可能高? 通常的辦法自然是陣列和連結串列,當然如果這麼玩,那部落格就沒必要寫了2333333。 一個32位整數int正常來說有32位,每種語言都有所不同,如果只是儲存和查詢數字的話,其實這是非常浪費的,而且是幾十倍的浪費。

匯編試驗二機器指令匯編指令編程

nbsp 編程 命令 匯編 改變 ima push images 數據段 預備知識:   d命令+段寄存器 註意棧段,定義的時候定下了棧頂,push操作後sp減小; 試驗任務: 註意: CS:IP指向代碼段; (ax,bx正確入

小興趣python生成excel格式座位表

highlight rand end 正方 unit style over 思路 created 腳本分兩個文件: 1.生成二維隨機列表:GenerateLocaltion.py  2.將列表導入excel文件:CreateExcel.py 先上GenerateLocalt

zxing生成解析二維碼

ont 跳轉 char log trac -s ioe hints pan package test; import java.awt.image.BufferedImage; import java.io.File; import java.io.IOExceptio

Excel 生成管理 Markdown 表格--轉載

enter span bus 大致 提高 .org 許可 tab 生成 Markdown 作為一種輕量級的標記語言,用來進行簡單的文本排版,確實方便快捷。但 Markdown 標記語言的屬性,也使得其在表格處理上略顯繁瑣且不直觀。而 Excel 幾乎就是表格的代名詞,借助

Java練習IF()進行數字排序

新手學習import java.util.Scanner; /** Created by Administrator on 2018/4/19 0019.//*Compare.java 比較輸入值得大小並輸出 v.1*/public class Compare {public static void

C++筆記005面向過程面向對象方法求解圓形面積

函數 ont 自定義數據類型 行為 能夠 變量 面向對象 數據類型 結構體 結束了第一個hello world程序後,我們來用面向過程和面向對象兩個方法來求解圓的面積這個問題,以能夠更清晰的體會面向對象和面向過程。 第一,面向過程計算圓的面積 程序中我們看到一個標準輸入流c

(7) openssl dgst(生成驗證數字簽名)

結果 lena nature binary 簽名 pub 進行 作用 驗證 該偽命令是單向加密工具,用於生成文件的摘要信息,也可以進行數字簽名,驗證數字簽名。 首先要明白的是,數字簽名的過程是計算出數字摘要,然後使用私鑰對數字摘要進行簽名,而摘要是使用md5、sha512等

NVIDIA新作解讀GAN生成前所未有的高清影象(附PyTorch復現) | PaperDaily #15

在碎片化閱讀充斥眼球的時代,越來越少的人會去關注每篇論文背後的探索和思考。 在這個欄目裡,你會快速 get 每篇精選論文的亮點和痛點,時刻緊跟 AI 前沿成果。 點選本文底部的「閱讀

java實現簽發數字證書

from  http://renhl169.blog.163.com/blog/static/20365322201023194724282/ 最近研究了一下數字簽名和關於證書相關。 證書必須通過CA權威機構簽發,但在開發期間有多種途徑實現簽發證書用於測試: 1)去

講解開源專案 Python 生成有“靈魂”的二維碼

本文作者:HelloGitHub-LITTLECHIEH 這是 HelloGitHub 推出的《講解開源專案》系列,今天給大家推薦一個 Python 開源生成二維碼的專案——qrcode 一、介紹 1.1 二維碼 二維碼又稱二維條碼,常見的二維碼為 QR Code,QR 全稱 Quick Response

openssl根證書生成簽發使用者證書

前段時間研究了一下 SSL/TLS ,看的是 Eric Rescorla 的 SSL and TLS - Designing and Building Secure Systems 的中文版(關於該中文版的惡劣程度,我在之前的一篇 Blog 中已做了嚴厲的批判)。本書的

練習編寫循環,讓戶輸入戶名密碼,如果戶為空或者數字,則重新輸入

color while pla 密碼 b2b 如果 lap use 循環 編寫循環,讓用戶輸入用戶名和密碼,如果用戶為空或者數字,則重新輸入 while True: user = input(‘請輸入用戶:‘) .strip() # 用戶輸入 ,去掉兩邊

SECURITY 03 郵件服務TLS/SSL 、 總結答疑 、 CA數字證書服務

roo email tab cal hostname tcp6 std http let day03部署CA服務器郵件加密網站加密+++++++++++++++++++++++++++++部署CA服務器 (54) 機構名稱 tarenaa

JDK自帶工具keytool生成ssl證書(https自生成證書並配置到jbosstomcat中)

1:什麼是HTTPS? HTTPS其實是有兩部分組成:HTTP + SSL / TLS, 也就是在HTTP上又加了一層處理加密資訊的模組,並且會進行身份的驗證。 問題: Firebug和postman之類的瀏覽器除錯工具,為什麼獲取到的是明文? 解答: SSL

教你TensorFlow自編碼器模型生成手寫數字(附程式碼)

來源:機器之心 本文長度為1876字,建議閱讀4分鐘 本文介紹瞭如何使用 TensorFlow 實現變分自編碼器(VAE)模型,並通過簡單的手寫數字生成案例一步步引導讀者實現這一強大的生成模

初識視覺SLAM相機解決定位建圖問題

視覺slam引言:視覺SLAM 是指用相機解決定位和建圖問題。本文以一個小機器人為例形象地介紹了視覺SLAM的功能及特點。本文選自《視覺SLAM十四講:從理論到實踐》。  SLAM 是Simultaneous Localization and Mapping 的縮寫,中文譯作“同時定位與地圖構建”。它是指搭載

解析 CSS3 JavaScript 制作徑向動畫菜單

select webkit on() making 它的 text tran 表示 har 原作者的解析(英文):http://creative-punch.net/2014/02/making-animated-radial-menu-css3-javascript

使用keytool生成ssl證書

display tail ken -s spa alt lan text nbsp 使用keytool生成ssl證書     在項目中由於要使用https訪問項目,然後了解到jdk有一個自帶的工具keytool可以用來生成ssl證書,從而可以通過https進行訪問。