SSL雙向認證證書制作過程經(jīng)過流程

-/SSL雙向認證證書制作流程——含單向SSL一、證書制作：1、生成服務器密鑰（庫）：keytool-genkey-aliasserver-keyalgRSA-keysize2048-validity3650-dname"CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN"-keypass123456-keystoreserver.jks-storepass123456謝謝閱讀CN：要簽名的[域名]或[IP]（說明：此處為要配置SSL服務器IP或域名）精品文檔放心下載OU：組織單位名稱，如：[公司注冊簡稱]O：組織名稱，如：[公司英文全稱]L：城市或地區(qū)名稱，如：[Beijing]ST：州或省份名稱，如：[Beijing]C：單位的兩字母國家代碼，如：[CN]2、驗證生成的服務器密鑰（庫）：keytool-list-v-keystoreserver.jks-storepass123456感謝閱讀3、為步驟1生成的服務器密鑰（庫）創(chuàng)建自簽名的證書：精品文檔放心下載keytool-selfcert-aliasserver-keystoreserver.jks-storepass123456精品文檔放心下載-/4、驗證生成的服務器密鑰（庫）：keytool-list-v-keystoreserver.jks-storepass123456感謝閱讀5、導出自簽名證書：keytool-export-aliasserver-keystoreserver.jks-fileserver.cer-storepass123456謝謝閱讀說明：此證書為后續(xù)要導入到瀏覽器中的受信任的根證書頒發(fā)機構。感謝閱讀6、生成客戶端密鑰（庫）：說明：keytool–genkey命令默認生成的是keystore文件，但為了能順利導入到IE或其他瀏覽器中，文件格式應為PKCS12。感謝閱讀稍后，此P12文件將導入到IE或其他瀏覽器中。精品文檔放心下載keytool-genkey-aliasclient-keyalgRSA-keysize2048-validity3650-dname"CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN"-storetypePKCS12-keypass123456-keystoreclient.p12-storepass123456謝謝閱讀CN：要簽名的[域名]或[IP](特別說明：這里是客戶端機構的域名或IP)謝謝閱讀OU：組織單位名稱，如：[公司注冊簡稱]O：組織名稱，如：[公司英文全稱]-/L：城市或地區(qū)名稱，如：[Beijing]ST：州或省份名稱，如：[Beijing]C：單位的兩字母國家代碼，如：[CN]7、提取客戶端密鑰的公鑰：只有客戶端密鑰庫文件還不行，還需要一個證書文件。畢竟證書文件才是直接提供給外界的公鑰憑證，因此需要將客戶端密鑰庫文件中的公鑰導入到某個證書文件中。精品文檔放心下載keytool-export-aliasclient-keystoreclient.p12-storetypePKCS12-rfc-fileclient.cer-storepass123456感謝閱讀8、將客戶端密鑰庫的公鑰導入到服務端密鑰庫中：keytool-import-v-fileclient.cer-keystoreserver.jks-storepass123456感謝閱讀9、驗證生成的服務器密鑰（庫）：keytool-list-v-keystoreserver.jks-storepass123456感謝閱讀-/說明：驗證步驟8的公鑰是否導出成功。二、證書導入：1、導入客戶端密鑰（庫）：對于IE瀏覽器，選擇Internet選項，則顯示如下:精品文檔放心下載-/點擊證書按鈕，顯示如下:-/點擊導入，顯示如下：點擊下一步，顯示如下：-/注意：選擇文件時，必須確認文件格式為：點擊下一步，并在密碼處鍵入，創(chuàng)建[客戶端密鑰（庫）]時所鍵入的密碼，這里是謝謝閱讀123456：-/選擇下一步，顯示如下：選擇[將所有的證書放入下列存儲(P)]為：個人，然后點擊下一步，顯示如下：精品文檔放心下載-/單擊完成，顯示如下：單擊確定，自此[客戶端密鑰（庫）]導入瀏覽器的操作完成。感謝閱讀-/2、導入服務器密鑰（庫）受信任的根證書：對于IE瀏覽器，選擇Internet選項，則顯示如下：謝謝閱讀點擊證書按鈕，顯示如下：-/點擊導入，顯示如下：-/點擊下一步，顯示如下：選擇要導入的文件，這里我們選擇步驟5導出的server.cer證書，單擊下一步顯示如下：謝謝閱讀-/選擇獎所有的證書放入下列存儲：收信人的根證書頒發(fā)機構，點擊下一步，顯示如下：感謝閱讀-/單擊完成，顯示如下：由于我們是一個自簽名證書，所以windows會給出上面的安全提示，選擇“是”，感謝閱讀-/顯示如下：單擊確定，自此[服務器密鑰（庫）受信任的根證書]導入瀏覽器的操作完成。謝謝閱讀三、 服務器配置SSL：說明，服務器配置SSL因應用服務器不同，其配置方法也不一樣，這里僅以tomcat6為例：謝謝閱讀1、配置雙向SSL：將服務器密鑰（庫）文件放置在[%TOMCATE_HOME%/onf]下：謝謝閱讀修改配置文件[%TOMCATE_HOME%/onf/server.xml]具體配置如下：感謝閱讀<Connectorport="8443"protocol="HTTP/1.1"SSLEnabled="true"maxThreads="150"scheme="https"secure="true"clientAuth="true"sslProtocol="TLS"keystoreFile="conf/server.jks"keystorePass="123456"truststoreFile="conf/server.jks"truststorePass="123456"/>感謝閱讀參數(shù)說明：clientAuth 如果想要Tomcat為了使用這個socket而要求所有SSL客戶出示一個客戶證書，置該值為true。謝謝閱讀-/如果創(chuàng)建的keystore文件不在Tomcat認為的缺省位置（一個精品文檔放心下載keystoreFile 在Tomcat運行的home目錄下的叫.keystore的文件），則加上該屬性。可以指定一個絕對路徑或依賴$CATALINA_BASE環(huán)謝謝閱讀境變量的相對路徑。keystorePasskeystoreTypesslProtocol

如果使用了一個與Tomcat預期不同的keystore（和證書）密碼（changeit），則加入該屬性。謝謝閱讀如果使用了一個PKCS12keystore，加入該屬性。有效值是JKS感謝閱讀PKCS12。socket使用的加密/解密協(xié)議。如果使用的是Sun的JVM，則不建議改變這個值。據(jù)說IBM的1.4.1版的TLS協(xié)議的實現(xiàn)和一些流行的瀏覽器不兼容。這種情況下，使用SSL。精品文檔放心下載ciphersalgorithmtruststoreFiletruststorePasstruststoreType

socket允許使用的被逗號分隔的密碼列表。缺省情況下，可以使用任何可用的密碼。謝謝閱讀使用的X509算法。缺省為Sun的實現(xiàn)（SunX509）。對于IBMJVMS應該使用ibmX509。對于其它JVM，參考JVM文檔取正確的值。感謝閱讀用來驗證客戶證書的trustStore文件。訪問trustStore使用的密碼。缺省值是keystorePass。感謝閱讀如果使用一個不同于正在使用的KeyStore的TrustStore格式，加入該屬性。有效值是JKS和PKCS12。精品文檔放心下載2、配置單向SSL：修改配置文件[%TOMCATE_HOME%/onf/server.xml]具體配置如下：謝謝閱讀<Connectorport="8443"protocol="org.apache.coyote.http11.Http11Protocol"maxThreads="150"SSLEnabled="true"scheme="https"secure="true"clientAuth="false"ssl