SSL雙向認(rèn)證證書(shū)制作過(guò)程流程_第1頁(yè)
SSL雙向認(rèn)證證書(shū)制作過(guò)程流程_第2頁(yè)
SSL雙向認(rèn)證證書(shū)制作過(guò)程流程_第3頁(yè)
SSL雙向認(rèn)證證書(shū)制作過(guò)程流程_第4頁(yè)
SSL雙向認(rèn)證證書(shū)制作過(guò)程流程_第5頁(yè)
已閱讀5頁(yè),還剩12頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、SSL雙向認(rèn)證證書(shū)制作流程SSL雙向認(rèn)證證書(shū)制作流程含單向SSL一、 證書(shū)制作:1、 生成服務(wù)器密鑰(庫(kù)):keytool -genkey -alias server -keyalg RSA -keysize 2048 -validity 3650 -dname "CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN" -keypass 123456 -keystore server.jks -storepass 123456CN:要簽名的域名或IP(說(shuō)明:此處為要配置SSL服務(wù)器IP或域名)OU:組織單位名稱,如:公司注冊(cè)

2、簡(jiǎn)稱O:組織名稱,如:公司英文全稱L:城市或地區(qū)名稱,如:BeijingST:州或省份名稱,如:BeijingC:?jiǎn)挝坏膬勺帜竾?guó)家代碼,如:CN2、 驗(yàn)證生成的服務(wù)器密鑰(庫(kù)):keytool -list -v -keystore server.jks -storepass 1234563、 為步驟1生成的服務(wù)器密鑰(庫(kù))創(chuàng)建自簽名的證書(shū):keytool -selfcert -alias server -keystore server.jks -storepass 1234564、 驗(yàn)證生成的服務(wù)器密鑰(庫(kù)):keytool -list -v -keystore server.jks -sto

3、repass 1234565、 導(dǎo)出自簽名證書(shū):keytool -export -alias server -keystore server.jks -file server.cer -storepass 123456說(shuō)明:此證書(shū)為后續(xù)要導(dǎo)入到瀏覽器中的受信任的根證書(shū)頒發(fā)機(jī)構(gòu)。6、 生成客戶端密鑰(庫(kù)):說(shuō)明:keytool genkey命令默認(rèn)生成的是keystore文件,但為了能順利導(dǎo)入到IE或其他瀏覽器中,文件格式應(yīng)為PKCS12。稍后,此P12文件將導(dǎo)入到IE或其他瀏覽器中。keytool -genkey -alias client -keyalg RSA -keysize 2048

4、-validity 3650 -dname "CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN" -storetype PKCS12 -keypass 123456 -keystore client.p12 -storepass 123456CN:要簽名的域名或IP(特別說(shuō)明:這里是客戶端機(jī)構(gòu)的域名或IP)OU:組織單位名稱,如:公司注冊(cè)簡(jiǎn)稱O:組織名稱,如:公司英文全稱L:城市或地區(qū)名稱,如:BeijingST:州或省份名稱,如:BeijingC:?jiǎn)挝坏膬勺帜竾?guó)家代碼,如:CN7、 提取客戶端密鑰的公鑰:只有客戶端密鑰

5、庫(kù)文件還不行,還需要一個(gè)證書(shū)文件。畢竟證書(shū)文件才是直接提供給外界的公鑰憑證,因此需要將客戶端密鑰庫(kù)文件中的公鑰導(dǎo)入到某個(gè)證書(shū)文件中。keytool -export -alias client -keystore client.p12 -storetype PKCS12 -rfc -file client.cer -storepass 1234568、 將客戶端密鑰庫(kù)的公鑰導(dǎo)入到服務(wù)端密鑰庫(kù)中:keytool -import -v -file client.cer -keystore server.jks -storepass 1234569、 驗(yàn)證生成的服務(wù)器密鑰(庫(kù)):keytool -li

6、st -v -keystore server.jks -storepass 123456說(shuō)明:驗(yàn)證步驟8的公鑰是否導(dǎo)出成功。二、 證書(shū)導(dǎo)入:1、 導(dǎo)入客戶端密鑰(庫(kù)):a) 對(duì)于IE瀏覽器,選擇Internet選項(xiàng),則顯示如下:b) 點(diǎn)擊證書(shū)按鈕,顯示如下:c) 點(diǎn)擊導(dǎo)入,顯示如下:d) 點(diǎn)擊下一步,顯示如下:注意:選擇文件時(shí),必須確認(rèn)文件格式為:e) 點(diǎn)擊下一步,并在密碼處鍵入,創(chuàng)建客戶端密鑰(庫(kù))時(shí)所鍵入的密碼,這里是123456:f) 選擇下一步,顯示如下:選擇將所有的證書(shū)放入下列存儲(chǔ)(P)為:個(gè)人,然后點(diǎn)擊下一步,顯示如下:g) 單擊完成,顯示如下:?jiǎn)螕舸_定,自此客戶端密鑰(庫(kù))導(dǎo)入瀏

7、覽器的操作完成。2、 導(dǎo)入服務(wù)器密鑰(庫(kù))受信任的根證書(shū):a) 對(duì)于IE瀏覽器,選擇Internet選項(xiàng),則顯示如下:b) 點(diǎn)擊證書(shū)按鈕,顯示如下:c) 點(diǎn)擊導(dǎo)入,顯示如下:d) 點(diǎn)擊下一步,顯示如下:e) 選擇要導(dǎo)入的文件,這里我們選擇步驟5導(dǎo)出的server.cer證書(shū),單擊下一步顯示如下:f) 選擇獎(jiǎng)所有的證書(shū)放入下列存儲(chǔ):收信人的根證書(shū)頒發(fā)機(jī)構(gòu),點(diǎn)擊下一步,顯示如下:g) 單擊完成,顯示如下:h) 由于我們是一個(gè)自簽名證書(shū),所以windows會(huì)給出上面的安全提示,選擇“是”,顯示如下:?jiǎn)螕舸_定,自此服務(wù)器密鑰(庫(kù))受信任的根證書(shū)導(dǎo)入瀏覽器的操作完成。三、 服務(wù)器配置SSL:說(shuō)明,服務(wù)器

8、配置SSL因應(yīng)用服務(wù)器不同,其配置方法也不一樣,這里僅以tomcat6為例:1、 配置雙向SSL:a) 將服務(wù)器密鑰(庫(kù))文件放置在%TOMCATE_HOME%/onf下:b) 修改配置文件%TOMCATE_HOME%/onf/server.xml具體配置如下:<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"

9、 clientAuth="true" sslProtocol="TLS" keystoreFile="conf/server.jks" keystorePass="123456" truststoreFile="conf/server.jks" truststorePass="123456" />參數(shù)說(shuō)明:clientAuth如果想要Tomcat為了使用這個(gè)socket而要求所有SSL客戶出示一個(gè)客戶證書(shū),置該值為true。keystoreFile如果創(chuàng)建的keysto

10、re文件不在Tomcat認(rèn)為的缺省位置(一個(gè)在Tomcat運(yùn)行的home目錄下的叫.keystore的文件),則加上該屬性??梢灾付ㄒ粋€(gè)絕對(duì)路徑或依賴$CATALINA_BASE環(huán)境變量的相對(duì)路徑。keystorePass如果使用了一個(gè)與Tomcat預(yù)期不同的keystore(和證書(shū))密碼(changeit),則加入該屬性。keystoreType如果使用了一個(gè)PKCS12 keystore,加入該屬性。有效值是JKS和PKCS12。sslProtocolsocket使用的加密/解密協(xié)議。如果使用的是Sun的JVM,則不建議改變這個(gè)值。據(jù)說(shuō)IBM的1.4.1版的TLS協(xié)議的實(shí)現(xiàn)和一些流行的瀏覽

11、器不兼容。這種情況下,使用SSL。ciphers此socket允許使用的被逗號(hào)分隔的密碼列表。缺省情況下,可以使用任何可用的密碼。algorithm使用的X509算法。缺省為Sun的實(shí)現(xiàn)(SunX509)。對(duì)于IBM JVMS應(yīng)該使用ibmX509。對(duì)于其它JVM,參考JVM文檔取正確的值。truststoreFile用來(lái)驗(yàn)證客戶證書(shū)的trustStore文件。truststorePass訪問(wèn)trustStore使用的密碼。缺省值是keystorePass。truststoreType如果使用一個(gè)不同于正在使用的KeyStore的TrustStore格式,加入該屬性。有效值是JKS和PKCS1

12、2。2、 配置單向SSL:a) 修改配置文件%TOMCATE_HOME%/onf/server.xml具體配置如下:<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="conf

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論