SSL雙向認(rèn)證證書(shū)制作過(guò)程經(jīng)過(guò)流程_第1頁(yè)
SSL雙向認(rèn)證證書(shū)制作過(guò)程經(jīng)過(guò)流程_第2頁(yè)
SSL雙向認(rèn)證證書(shū)制作過(guò)程經(jīng)過(guò)流程_第3頁(yè)
SSL雙向認(rèn)證證書(shū)制作過(guò)程經(jīng)過(guò)流程_第4頁(yè)
SSL雙向認(rèn)證證書(shū)制作過(guò)程經(jīng)過(guò)流程_第5頁(yè)
已閱讀5頁(yè),還剩12頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

-/SSL雙向認(rèn)證證書(shū)制作流程——含單向SSL一、證書(shū)制作:1、生成服務(wù)器密鑰(庫(kù)):keytool-genkey-aliasserver-keyalgRSA-keysize2048-validity3650-dname"CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN"-keypass123456-keystoreserver.jks-storepass123456謝謝閱讀CN:要簽名的[域名]或[IP](說(shuō)明:此處為要配置SSL服務(wù)器IP或域名)精品文檔放心下載OU:組織單位名稱,如:[公司注冊(cè)簡(jiǎn)稱]O:組織名稱,如:[公司英文全稱]L:城市或地區(qū)名稱,如:[Beijing]ST:州或省份名稱,如:[Beijing]C:?jiǎn)挝坏膬勺帜竾?guó)家代碼,如:[CN]2、驗(yàn)證生成的服務(wù)器密鑰(庫(kù)):keytool-list-v-keystoreserver.jks-storepass123456感謝閱讀3、為步驟1生成的服務(wù)器密鑰(庫(kù))創(chuàng)建自簽名的證書(shū):精品文檔放心下載keytool-selfcert-aliasserver-keystoreserver.jks-storepass123456精品文檔放心下載-/4、驗(yàn)證生成的服務(wù)器密鑰(庫(kù)):keytool-list-v-keystoreserver.jks-storepass123456感謝閱讀5、導(dǎo)出自簽名證書(shū):keytool-export-aliasserver-keystoreserver.jks-fileserver.cer-storepass123456謝謝閱讀說(shuō)明:此證書(shū)為后續(xù)要導(dǎo)入到瀏覽器中的受信任的根證書(shū)頒發(fā)機(jī)構(gòu)。感謝閱讀6、生成客戶端密鑰(庫(kù)):說(shuō)明:keytool–genkey命令默認(rèn)生成的是keystore文件,但為了能順利導(dǎo)入到IE或其他瀏覽器中,文件格式應(yīng)為PKCS12。感謝閱讀稍后,此P12文件將導(dǎo)入到IE或其他瀏覽器中。精品文檔放心下載keytool-genkey-aliasclient-keyalgRSA-keysize2048-validity3650-dname"CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN"-storetypePKCS12-keypass123456-keystoreclient.p12-storepass123456謝謝閱讀CN:要簽名的[域名]或[IP](特別說(shuō)明:這里是客戶端機(jī)構(gòu)的域名或IP)謝謝閱讀OU:組織單位名稱,如:[公司注冊(cè)簡(jiǎn)稱]O:組織名稱,如:[公司英文全稱]-/L:城市或地區(qū)名稱,如:[Beijing]ST:州或省份名稱,如:[Beijing]C:?jiǎn)挝坏膬勺帜竾?guó)家代碼,如:[CN]7、提取客戶端密鑰的公鑰:只有客戶端密鑰庫(kù)文件還不行,還需要一個(gè)證書(shū)文件。畢竟證書(shū)文件才是直接提供給外界的公鑰憑證,因此需要將客戶端密鑰庫(kù)文件中的公鑰導(dǎo)入到某個(gè)證書(shū)文件中。精品文檔放心下載keytool-export-aliasclient-keystoreclient.p12-storetypePKCS12-rfc-fileclient.cer-storepass123456感謝閱讀8、將客戶端密鑰庫(kù)的公鑰導(dǎo)入到服務(wù)端密鑰庫(kù)中:keytool-import-v-fileclient.cer-keystoreserver.jks-storepass123456感謝閱讀9、驗(yàn)證生成的服務(wù)器密鑰(庫(kù)):keytool-list-v-keystoreserver.jks-storepass123456感謝閱讀-/說(shuō)明:驗(yàn)證步驟8的公鑰是否導(dǎo)出成功。二、證書(shū)導(dǎo)入:1、導(dǎo)入客戶端密鑰(庫(kù)):對(duì)于IE瀏覽器,選擇Internet選項(xiàng),則顯示如下:精品文檔放心下載-/點(diǎn)擊證書(shū)按鈕,顯示如下:-/點(diǎn)擊導(dǎo)入,顯示如下:點(diǎn)擊下一步,顯示如下:-/注意:選擇文件時(shí),必須確認(rèn)文件格式為:點(diǎn)擊下一步,并在密碼處鍵入,創(chuàng)建[客戶端密鑰(庫(kù))]時(shí)所鍵入的密碼,這里是謝謝閱讀123456:-/選擇下一步,顯示如下:選擇[將所有的證書(shū)放入下列存儲(chǔ)(P)]為:個(gè)人,然后點(diǎn)擊下一步,顯示如下:精品文檔放心下載-/單擊完成,顯示如下:?jiǎn)螕舸_定,自此[客戶端密鑰(庫(kù))]導(dǎo)入瀏覽器的操作完成。感謝閱讀-/2、導(dǎo)入服務(wù)器密鑰(庫(kù))受信任的根證書(shū):對(duì)于IE瀏覽器,選擇Internet選項(xiàng),則顯示如下:謝謝閱讀點(diǎn)擊證書(shū)按鈕,顯示如下:-/點(diǎn)擊導(dǎo)入,顯示如下:-/點(diǎn)擊下一步,顯示如下:選擇要導(dǎo)入的文件,這里我們選擇步驟5導(dǎo)出的server.cer證書(shū),單擊下一步顯示如下:謝謝閱讀-/選擇獎(jiǎng)所有的證書(shū)放入下列存儲(chǔ):收信人的根證書(shū)頒發(fā)機(jī)構(gòu),點(diǎn)擊下一步,顯示如下:感謝閱讀-/單擊完成,顯示如下:由于我們是一個(gè)自簽名證書(shū),所以windows會(huì)給出上面的安全提示,選擇“是”,感謝閱讀-/顯示如下:?jiǎn)螕舸_定,自此[服務(wù)器密鑰(庫(kù))受信任的根證書(shū)]導(dǎo)入瀏覽器的操作完成。謝謝閱讀三、 服務(wù)器配置SSL:說(shuō)明,服務(wù)器配置SSL因應(yīng)用服務(wù)器不同,其配置方法也不一樣,這里僅以tomcat6為例:謝謝閱讀1、配置雙向SSL:將服務(wù)器密鑰(庫(kù))文件放置在[%TOMCATE_HOME%/onf]下:謝謝閱讀修改配置文件[%TOMCATE_HOME%/onf/server.xml]具體配置如下:感謝閱讀<Connectorport="8443"protocol="HTTP/1.1"SSLEnabled="true"maxThreads="150"scheme="https"secure="true"clientAuth="true"sslProtocol="TLS"keystoreFile="conf/server.jks"keystorePass="123456"truststoreFile="conf/server.jks"truststorePass="123456"/>感謝閱讀參數(shù)說(shuō)明:clientAuth 如果想要Tomcat為了使用這個(gè)socket而要求所有SSL客戶出示一個(gè)客戶證書(shū),置該值為true。謝謝閱讀-/如果創(chuàng)建的keystore文件不在Tomcat認(rèn)為的缺省位置(一個(gè)精品文檔放心下載keystoreFile 在Tomcat運(yùn)行的home目錄下的叫.keystore的文件),則加上該屬性??梢灾付ㄒ粋€(gè)絕對(duì)路徑或依賴$CATALINA_BASE環(huán)謝謝閱讀境變量的相對(duì)路徑。keystorePasskeystoreTypesslProtocol

如果使用了一個(gè)與Tomcat預(yù)期不同的keystore(和證書(shū))密碼(changeit),則加入該屬性。謝謝閱讀如果使用了一個(gè)PKCS12keystore,加入該屬性。有效值是JKS感謝閱讀PKCS12。socket使用的加密/解密協(xié)議。如果使用的是Sun的JVM,則不建議改變這個(gè)值。據(jù)說(shuō)IBM的1.4.1版的TLS協(xié)議的實(shí)現(xiàn)和一些流行的瀏覽器不兼容。這種情況下,使用SSL。精品文檔放心下載ciphersalgorithmtruststoreFiletruststorePasstruststoreType

socket允許使用的被逗號(hào)分隔的密碼列表。缺省情況下,可以使用任何可用的密碼。謝謝閱讀使用的X509算法。缺省為Sun的實(shí)現(xiàn)(SunX509)。對(duì)于IBMJVMS應(yīng)該使用ibmX509。對(duì)于其它JVM,參考JVM文檔取正確的值。感謝閱讀用來(lái)驗(yàn)證客戶證書(shū)的trustStore文件。訪問(wèn)trustStore使用的密碼。缺省值是keystorePass。感謝閱讀如果使用一個(gè)不同于正在使用的KeyStore的TrustStore格式,加入該屬性。有效值是JKS和PKCS12。精品文檔放心下載2、配置單向SSL:修改配置文件[%TOMCATE_HOME%/onf/server.xml]具體配置如下:謝謝閱讀<Connectorport="8443"protocol="org.apache.coyote.http11.Http11Protocol"maxThreads="150"SSLEnabled="true"scheme="https"secure="true"clientAuth="false"ssl

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論