注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

是缘是情是童真

如果你用笑脸面对 你会看见别人的笑脸

 
 
 

日志

 
 

【转载】Tomcat6.X SSL的配置-Part2  

2013-01-28 17:33:14|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
本文转载自dinstone《Tomcat6.X SSL的配置-Part2》

4.2 CA证书生成

    这里,我们使用OpenSSL生成自己CA证书,然后使用它来签发Server端和Client端的证书,该CA证书充当了第三方权威CA的角色。

 

Step1,创建文件夹$OpenSSL_Home\bin\ca,打开CMD将工作目录指向$OpenSSL_Home\bin。输入如下命令创建私钥:

D:\Server\OpenSSL-Win32\bin>openssl genrsa -out ca/ca-key.pem 1024

生成私钥文件ca-key.pem

 

Step2,创建Certificate Secure Request证书请求文件,

D:\Server\OpenSSL-Win32\bin>openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem

生成CSR文件ca-req.csr

 

Step3,生成自签名CA证书。使用私钥ca-key.pem来签署CSR文件ca-req.csr

D:\Server\OpenSSL-Win32\bin>openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650

生成自签名CA证书ca-cert.pem

 

Step4导出CA证书为浏览器支持的.p12格式,

D:\Server\OpenSSL-Win32\bin>openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca-root.p12

生成.p12格式的CA证书ca-root.p12备用。

 

4.3签发服务器端证书

这里,我们使用新制作的CA证书来签发服务器端的证书serverkey,然后将签发后的证书导入服务器端密钥库tomcat.jks

 

Step1创建服务器端证书的CSR文件,

C:\Documents and Settings\dinstone>keytool -certreq -alias serverkey -file server.csr -keystore tomcat.jks -storepass 123456

生成CSR文件server.csr

 

Step2,使用CA证书来签发server.csr,将server.csr拷贝到$OpenSSL_Home\bin\server目录下,执行如下命令,

D:\Server\OpenSSL-Win32\bin>openssl x509 -req -in server/server.csr -out server/

server-cert.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAserial ca/ca-cert.srl

 -CAcreateserial -days 3650

Loading 'screen' into random state - done

Signature ok

subject=/C=CN/ST=beijing/L=beijing/O=software/OU=bluesky/CN=192.168.8.221

Getting CA Private Key

 

生成CA签发的证书server-cert.pem

 

Step3,将CA证书ca-cert.pem导入服务器端密钥库tomcat.jks。执行如下命令,

C:\Documents and Settings\dinstone>keytool -importcert -alias ca -v -file ca-cer

t.pem -keystore tomcat.jks -storepass 123456

所有者:CN=CA Root, O=Certification Authentication Center, L=haidian, ST=Beijing,

 C=CN

签发人:CN=CA Root, O=Certification Authentication Center, L=haidian, ST=Beijing,

 C=CN

序列号:f8c56c50b55fa6f5

有效期: Tue Jun 22 17:32:53 CST 2010 Fri Jun 19 17:32:53 CST 2020

证书指纹:

         MD5:5A:E6:50:CE:C5:63:CA:DD:0E:01:99:9F:1B:A7:23:0F

         SHA1:E4:68:4F:F7:FE:B5:58:30:16:DD:49:32:CD:B2:AC:21:BA:6D:32:33

         签名算法名称:SHA1withRSA

         版本: 1

信任这个认证? []  y

认证已添加至keystore

[正在存储 tomcat.jks]

 

Step4,将CA签发的服务器端证书server-cert.pem导入服务器端密钥库tomcat.jks。执行如下命令,

C:\Documents and Settings\dinstone>keytool -importcert -alias serverkey -v -file

 server-cert.pem -keystore tomcat.jks -storepass 123456

认证回复已安装在 keystore

[正在存储 tomcat.jks]

 

Step5,查看服务器端证书。如果能看到如下信息,则表示导入成功。

C:\Documents and Settings\dinstone>keytool -list -v -keystore tomcat.jks -storep

ass 123456

 

Keystore 类型: JKS

Keystore 提供者: SUN

 

您的 keystore 包含 2 输入

 

别名名称: ca

创建日期: 2010-6-23

输入类型: trustedCertEntry

 

所有者:CN=CA Root, O=Certification Authentication Center, L=haidian, ST=Beijing,

 C=CN

签发人:CN=CA Root, O=Certification Authentication Center, L=haidian, ST=Beijing,

 C=CN

序列号:f8c56c50b55fa6f5

有效期: Tue Jun 22 17:32:53 CST 2010 Fri Jun 19 17:32:53 CST 2020

证书指纹:

         MD5:5A:E6:50:CE:C5:63:CA:DD:0E:01:99:9F:1B:A7:23:0F

         SHA1:E4:68:4F:F7:FE:B5:58:30:16:DD:49:32:CD:B2:AC:21:BA:6D:32:33

         签名算法名称:SHA1withRSA

         版本: 1

 

 

*******************************************

*******************************************

 

 

别名名称: serverkey

创建日期: 2010-6-23

项类型: PrivateKeyEntry

认证链长度: 2

认证 [1]:

所有者:CN=192.168.8.221, OU=bluesky, O=software, L=beijing, ST=beijing, C=CN

签发人:CN=CA Root, O=Certification Authentication Center, L=haidian, ST=Beijing,

 C=CN

序列号:f0b21ac36d7ce6ac

有效期: Wed Jun 23 09:32:01 CST 2010 Sat Jun 20 09:32:01 CST 2020

证书指纹:

         MD5:E4:F2:48:39:7E:15:F9:64:F6:2C:BA:E1:6A:AF:AF:E1

         SHA1:E4:78:0A:84:C2:84:42:A0:52:1E:39:99:35:9F:F1:7F:62:A6:9A:DE

         签名算法名称:SHA1withRSA

         版本: 1

认证 [2]:

所有者:CN=CA Root, O=Certification Authentication Center, L=haidian, ST=Beijing,

 C=CN

签发人:CN=CA Root, O=Certification Authentication Center, L=haidian, ST=Beijing,

 C=CN

序列号:f8c56c50b55fa6f5

有效期: Tue Jun 22 17:32:53 CST 2010 Fri Jun 19 17:32:53 CST 2020

证书指纹:

         MD5:5A:E6:50:CE:C5:63:CA:DD:0E:01:99:9F:1B:A7:23:0F

         SHA1:E4:68:4F:F7:FE:B5:58:30:16:DD:49:32:CD:B2:AC:21:BA:6D:32:33

         签名算法名称:SHA1withRSA

         版本: 1

 

 

*******************************************

*******************************************

 

4.4 测试服务器端认证

Step1,将生成的.p12格式的CA证书ca-root.p12导入浏览器的受信任的根证书颁发机构。

Tomcat6.X SSL的配置-Part2 - dinstone - dinstone的代码人生!
 

CA根证书导入

 

Step2测试Https,启动Tomcat。访问https://localhost:8443/,提示有不安全的证书如下:

Tomcat6.X SSL的配置-Part2 - dinstone - dinstone的代码人生!
 

安全警报

Tomcat6.X SSL的配置-Part2 - dinstone - dinstone的代码人生!
 

证书信息

我们看到该证书由可信任的安全机构签发,问题1解决。而访问https://192.168.8.221:8443/,直接看到Tomcat的欢迎页面而不会有安全警报,同时在状态栏右侧可以看到浏览器已经与服务器建立安全连接,信息如下:

Tomcat6.X SSL的配置-Part2 - dinstone - dinstone的代码人生!
 

SSL连接

 

  评论这张
 
阅读(133)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017