SSL (Secure Socket Layer - 安全套接字層)
功能:保障在Internet上數據傳輸之安全,利用數據加密(Encryption)技術,確保數據在網絡上之傳輸過程中不會被截取及竊聽,防止篡改。
要實現 TOMCAT+SSL 雙向認證,也就是說,首先,客戶端將要認證服務器的安全性,確保訪問的是正確的服務器,而非假冒的釣魚網站;其次,服務器也要認證客戶端的安全性,只有那些擁有服務器授權證書的客戶端纔可以訪問。
tomcat服務器配置SSL雙向認證
方法/步驟 如下:
開始前,現在D盤下建立home文件夾,環境:apache-tomcat-7.0.62、jdk1.6.0_23
一、SSL雙向認證
1、爲服務器生成證書
“運行”控制檯,進入%JAVA_HOME%/bin目錄,使用如下命令進入目錄:
cd “c:\Program Files\Java\jdk1.6.0_11\bin”
使用keytool爲Tomcat生成證書,假定目標機器的域名是“localhost”,keystore文件存放在“D:\home\tomcat.keystore”,口令爲“password”,使用如下命令生成:
keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\home\tomcat.keystore -validity 36500 (參數簡要說明:“D:\home\tomcat.keystore”含義是將證書文件的保存路徑,證書文件名稱是tomcat.keystore ;“-validity 36500”含義是證書有效期,36500表示100年,默認值是90天 “tomcat”爲自定義證書名稱)。
在命令行填寫必要參數:
A、 輸入keystore密碼:此處需要輸入大於6個字符的字符串(123456)。
B、 “您的名字與姓氏是什麼?”這是必填項,並且必須是TOMCAT部署主機的域名或者IP[如:zhao.com 或者 10.1.25.251](就是你將來要在瀏覽器中輸入的訪問地址),否則瀏覽器會彈出警告窗口,提示用戶證書與所在域不匹配。在本地做開發測試時,應填入“localhost”。
C、 你的組織單位名稱是什麼?”、“您的組織名稱是什麼?”、“您所在城市或區域名稱是什麼?”、“您所在的州或者省份名稱是什麼?”、“該單位的兩字母國家代碼是什麼?”可以按照需要填寫也可以不填寫直接回車,在系統詢問“正確嗎?”時,對照輸入信息,如果符合要求則使用鍵盤輸入字母“y”,否則輸入“n”重新填寫上面的信息。
D、 輸入<tomcat>的主密碼,這項較爲重要,會在tomcat配置文件中使用,建議輸入與keystore的密碼一致,設置其它密碼也可以,完成上述輸入後,直接回車則在你在第二步中定義的位置找到生成的文件。
2、爲客戶端生成證書
爲瀏覽器生成證書,以便讓服務器來驗證它。爲了能將證書順利導入至IE和Firefox,證書格式應該是PKCS12,因此,使用如下命令生成:
keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\home\mykey.p12 (mykey爲自定義)。
對應的證書庫存放在“D:\home\mykey.p12”,客戶端的CN可以是任意值。雙擊mykey.p12文件,即可將證書導入至瀏覽器(客戶端)。
3、讓服務器信任客戶端證書
由於是雙向SSL認證,服務器必須要信任客戶端證書,因此,必須把客戶端證書添加爲服務器的信任認證。由於不能直接將PKCS12格式的證書庫導入,必須先把客戶端證書導出爲一個單獨的CER文件,使用如下命令:
keytool -export -alias mykey -keystore D:\home\mykey.p12 -storetype PKCS12 -storepass 123456 -rfc -file D:\home\mykey.cer
(mykey爲自定義與客戶端定義的mykey要一致,123456是你設置的密碼)。通過以上命令,客戶端證書就被我們導出到“D:\home\mykey.cer”文件了。
下一步,是將該文件導入到服務器的證書庫,添加爲一個信任證書使用命令如下:
keytool -import -v -file D:\home\mykey.cer -keystore D:\home\tomcat.keystore
通過list命令查看服務器的證書庫,可以看到兩個證書,一個是服務器證書,一個是受信任的客戶端證書:
keytool -list -keystore D:\home\tomcat.keystore (tomcat爲你設置服務器端的證書名)。
4、讓客戶端信任服務器證書
由於是雙向SSL認證,客戶端也要驗證服務器證書,因此,必須把服務器證書添加到瀏覽的“受信任的根證書頒發機構”。由於不能直接將keystore格式的證書庫導入,必須先把服務器證書導出爲一個單獨的CER文件,使用如下命令:
keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer -validity 36500 (tomcat爲你設置服務器端的證書名)。
通過以上命令,服務器證書就被我們導出到“D:\home\tomcat.cer”文件了。雙擊tomcat.cer文件,按照提示安裝證書,將證書填入到“受信任的根證書頒發機構”。
5、配置Tomcat服務器
打開Tomcat根目錄下的/conf/server.xml,找到Connector port="8443"配置段,修改爲如下:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
SSLEnabled="true" maxThreads="150" scheme="https"
secure="true" clientAuth="true" sslProtocol="TLS"
keystoreFile="D:\home\tomcat.keystore" keystorePass="123456"
truststoreFile="D:\home\tomcat.keystore" truststorePass="123456" />
(tomcat要與生成的服務端證書名一致)
屬性說明:
clientAuth:設置是否雙向驗證,默認爲false,設置爲true代表雙向驗證
keystoreFile:服務器證書文件路徑
keystorePass:服務器證書密碼
truststoreFile:用來驗證客戶端證書的根證書,此例中就是服務器證書
truststorePass:根證書密碼
6、本機測試
注意:上面生成的四個文件中是需要分別運行安裝證書纔可以正常訪問,不注意容易忽略,如下2個文件:
mykey.p12、tomcat.cer
7、使用其他機器訪問測試(真實場景即爲真正用戶的機器訪問)
注意:需要訪問的機器需要下載證書,,雞服務器端生成的證書,如下2個文件:
mykey.p12、tomcat.cer、mykey.cer,其中安裝tomcat.cer時不能默認安裝,要選擇“受信任的根證書頒發機構”才行,否則打開界面沒問題,瀏覽器打叉,提示不受信任證書!
配置hosts映射:127.0.0.1 zhao.com
8、目前在IE/360/獵豹瀏覽器測試通過,但火狐瀏覽器有問題,有待研究
9、應用程序HTTP自動跳轉到HTTPS(經測試可用-zsj)
在應用程序中web.xml中加入:
<security-constraint>
<web-resource-collection >
<web-resource-name >SSL</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
GDCA(數安時代)擁有國內自主簽發信鑑易 TrustAUTH SSL證書以及是國際知名品牌:GlobalSign、Symantec、GeoTrust SSL證書國內金牌代理商,滿足各種用戶對SSL的各種要求,廣大用戶可根據自身的需求向GDCA申請合適的SSL證書,GDCA的專業團隊將會爲您提供最佳的HTTPS解決方案。