http://www.barretlee.com/blog/2015/10/05/how-to-build-a-https-server/
http://blog.163.com/fangjinbao@126/blog/static/50873786201111265749952/
一、生成密钥、证书
第一步,为服务器端和客户端准备公钥、私钥
# 生成服务器端私钥 openssl genrsa -out server.key 1024 # 生成服务器端公钥 openssl rsa -in server.key -pubout -out server.pem # 生成客户端私钥 openssl genrsa -out client.key 1024 # 生成客户端公钥 openssl rsa -in client.key -pubout -out client.pem
第二步,生成 CA 证书
# 生成 CA 私钥 openssl genrsa -out ca.key 1024 # X.509 Certificate Signing Request (CSR) Management. openssl req -new -key ca.key -out ca.csr # X.509 Certificate Data Management. openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
在生成csr申请文件的时候需要填写公司的具体信息,如:
➜ keys openssl req -new -key ca.key -out ca.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:CN State or Province Name (full name) [Some-State]:Zhejiang Locality Name (eg, city) []:Hangzhou Organization Name (eg, company) [Internet Widgits Pty Ltd]:My CA Organizational Unit Name (eg, section) []: Common Name (e.g. server FQDN or YOUR name) []:*.yunzhu.com Email Address []:
第三步,生成服务器端证书和客户端证书(服务器端证书需要特别注意申请的域名或者ip,客户端会验证自己请求的地址是否和证书里面的地址是否相同)
# 服务器端需要向 CA 机构申请签名证书,在申请签名证书之前依然是创建自己的 CSR 文件 openssl req -new -key server.key -out server.csr # 向自己的 CA 机构申请证书,签名过程需要 CA 的证书和私钥参与,最终颁发一个带有 CA 签名的证书 openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt # client 端 openssl req -new -key client.key -out client.csr # client 端到 CA 签名 openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt
4、生成pkcs12格式证书(该格式证书包含CA证书,私钥和自己的证书)
在tomcat中实现双向认证有时需要pkcs12格式的证书(该证书包含根证书、服务器端或客户端的证书和密钥文件)
4.1、生成pkcs12服务器证书tomcat.p12,设置密码为1234563
openssl pkcs12 -export -in server/server.crt -inkey server/server.key -out server/tomcat.p12 -name tomcat -CAfile ca/ca.crt -caname root -chain
1234563(后边Tomcat的配置文件中需要)
4.2、生成pkcs12客户端证书client1.p12,设置密码为1234562
openssl pkcs12 -export -in client/client.crt -inkey client/client.key -out client/client.p12 -name client -chain -CAfile ca/ca.crt
1234562 回车(设置密码为空,在用户导入时不用输入密码) 回车
5、有时可能需要别的格式的证书
生成pem格式证书
cat private/privatekey.crt private/privatekey.key> private/privatekey.pem
cat server/server.crt server/server.key > server/server.pem
二、tomcat实现双向认证
按照以上方法证书生成后,我们再配置TomCat即可实现双向认证。此时服务器端我们只用到服务器端pkcs12格式的证书tomcat.p12和CA的根证书ca.crt即可,客户端用到pkcs12格式的证书client.p12。
1、将以上创建的证书server.crt和tomcat.p12拷贝到tomcat主目录下的conf文件夹下。
cp server/server.crt server/tomcat.p12 /home/apache-tomcat-6.0.35/conf/
2、创建服务器信任的CA证书库(原理上导入CA证书即可,但是自己做实验发现导入CA证书导致服务端不信任客户端,导入客户端的证书之后就好了,不知道哪里出错了)
把ca.crt证书导入信任证书库,命令行模式进入tomcat主目录下的conf目录,执行以下命令:
cd /home/apache-tomcat-6.0.35/conf/
keytool -keystore truststore.jks -keypass 111111 -storepass 111111 -alias ca -import -trustcacerts -file /usr/local/openssl/ca/ca.crt
*如果出现ca已经存在的错误,keytool -delete -alias ca -keystore truststore.jks 111111(keytool的密码,上一次使用时使用的密码)
可以用以下命令查看信任证书库内容:
keytool -keystore truststore.jks -keypass 111111 -storepass 111111 -list -v
(
参考修改keytool的密码:
keytool -storepasswd -new 123456 -storepass 111111 -keystore truststore.jks
其中-storepass指定原密码,-new指定新密码。
keytool -delete -alias ca -keystore truststore.jks 要求输入的密码就是上边修改的密码
)
3、配置Tomcat支持HTTPS双向认证
修改tomcat的conf目录里的server.xml文件($TOMCAT_HOME/conf/server.xml),找到类似下面内容的配置处,添加配置如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="conf/tomcat.p12" keystorePass="1234563" keystoreType="PKCS12"
truststoreFile="conf/truststore.jks" truststorePass="111111" truststoreType="JKS"
/>
配置好后,重启tomcat,
/home/apache-tomcat-6.0.35/bin/catalina.sh stop
/home/apache-tomcat-6.0.35/bin/catalina.sh start
可以监控8443端口看https是否启动起来:
netstat –an|grep 8443
tcp 0 0 :::8443 :::* LISTEN
三、客户端安装证书:客户端导入client1.p12 证书,windows系统双击安装即可。
通过浏览器https方式访问服务器的web时会提示选择证书。
安装CA的证书来让客户端来信任服务端的证书
https://服务器Ip地址:服务端口号