詳解用Tomcat服務(wù)器配置https雙向認(rèn)證過程實(shí)戰(zhàn)

更新時間：2017年05月13日 17:37:01 作者：笑的自然

本篇文章主要介紹了詳解用Tomcat服務(wù)器配置https雙向認(rèn)證過程實(shí)戰(zhàn)，具有一定的參考價值，感興趣的小伙伴們可以參考一下

工具：keytool （Windows下路徑：%JAVA_HOME%/bin/keytool.exe）

環(huán)境：Windows8.1企業(yè)版、Tomcat-7.0.27、JDK1.6、IE11、Chrome

一、為服務(wù)器生成證書

C:\Windows\system32>keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\tomcat.keystore -validity 36500
輸入keystore密碼：
再次輸入新密碼:
您的名字與姓氏是什么？
 [Unknown]： StoneXing
您的組織單位名稱是什么？
 [Unknown]： iFLYTEK
您的組織名稱是什么？
 [Unknown]： iFLYTEK
您所在的城市或區(qū)域名稱是什么？
 [Unknown]： 合肥市
您所在的州或省份名稱是什么？
 [Unknown]： 安徽省
該單位的兩字母國家代碼是什么
 [Unknown]： CN
CN=StoneXing, OU=iFLYTEK, O=iFLYTEK, L=合肥市, ST=安徽省, C=CN 正確嗎？ [否]： y

正在為以下對象生成 1,024 位 RSA 密鑰對和自簽名證書 (SHA1withRSA)（有效期為 36,500 天）:
     CN=StoneXing, OU=iFLYTEK, O=iFLYTEK, L=合肥市, ST=安徽省, C=CN
輸入<tomcat>的主密碼
    （如果和 keystore 密碼相同，按回車）：
[正在存儲 D:\tomcat.keystore]

C:\Windows\system32>

“D:\tomcat.keystore”含義是將證書文件的保存路徑，證書文件名稱是tomcat.keystore(可自定義名稱)；

“-validity 36500”含義是證書有效期，36500表示100年，默認(rèn)值是90天；

二、為客戶端生成證書

1、生成客戶端證書

C:\Windows\system32>keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\client.key.p12
輸入keystore密碼：
再次輸入新密碼:
您的名字與姓氏是什么？
 [Unknown]： StoneXing
您的組織單位名稱是什么？
 [Unknown]： iFLYTEK
您的組織名稱是什么？
 [Unknown]： iFLYTEK
您所在的城市或區(qū)域名稱是什么？
 [Unknown]： 合肥
您所在的州或省份名稱是什么？
 [Unknown]： 安徽省
該單位的兩字母國家代碼是什么
 [Unknown]： CN
CN=StoneXing, OU=iFLYTEK, O=iFLYTEK, L=合肥, ST=安徽省, C=CN 正確嗎？ [否]： y

正在為以下對象生成 1,024 位 RSA 密鑰對和自簽名證書 (SHA1withRSA)（有效期為 90 天）:
     CN=StoneXing, OU=iFLYTEK, O=iFLYTEK, L=合肥, ST=安徽省, C=CN
[正在存儲 D:\client.key.p12]

C:\Windows\system32>

生成的兩個文件：

2、安裝客戶端證書

雙擊客戶端證書“client.key.p12”完成導(dǎo)入證書過程如下：

三、讓服務(wù)器信任客戶端證書

1、將客戶端證書導(dǎo)出為CER文件

由于是雙向SSL認(rèn)證，服務(wù)器必須要信任客戶端證書，因此，必須把客戶端證書添加為服務(wù)器的信任認(rèn)證。因不能直接將PKCS12格式的證書庫導(dǎo)入服務(wù)器證書庫，將客戶端證書導(dǎo)出為一個單獨(dú)的CER文件

keytool -export -alias mykey -keystore D:\client.key.p12 -storetype PKCS12 -storepass password -rfc -file D:\client.key.cer

注：password為客戶端證書的密碼

C:\Windows\system32>keytool -export -alias mykey -keystore D:\client.key.p12 -storetype PKCS12 -storepass 888888 -rfc -file D:\client.key.cer
保存在文件中的認(rèn)證 <D:\client.key.cer>

C:\Windows\system32>

2、將CER文件導(dǎo)入到服務(wù)器的證書庫

添加為一個信任證書使用命令如下：

C:\Windows\system32>keytool -import -v -file D:\client.key.cer -keystore D:\tomcat.keystore
輸入keystore密碼：
所有者:CN=StoneXing, OU=iFLYTEK, O=iFLYTEK, L=合肥, ST=安徽省, C=CN
簽發(fā)人:CN=StoneXing, OU=iFLYTEK, O=iFLYTEK, L=合肥, ST=安徽省, C=CN
序列號:52e07723
有效期: Thu Jan 23 09:57:55 CST 2014 至Wed Apr 23 09:57:55 CST 2014
證書指紋:
     MD5:15:29:58:68:8D:63:E1:00:8E:E6:EC:5E:AD:23:79:38
     SHA1:B7:EF:B9:67:BD:56:95:82:3D:D8:14:0D:20:69:F0:C8:60:98:31:9A
     簽名算法名稱:SHA1withRSA
     版本: 3
信任這個認(rèn)證？ [否]： y
認(rèn)證已添加至keystore中
[正在存儲 D:\tomcat.keystore]

C:\Windows\system32>

3、檢查安裝結(jié)果

通過list命令查看服務(wù)器的證書庫，可以看到兩個證書，一個是服務(wù)器證書，一個是受信任的客戶端證書：

keytool -list -keystore D:\tomcat.keystore (tomcat為你設(shè)置服務(wù)器端的證書名)。

C:\Windows\system32>keytool -list -keystore D:\tomcat.keystore
輸入keystore密碼：

Keystore 類型： JKS
Keystore 提供者： SUN

您的 keystore 包含 2 輸入

tomcat, 2014-1-23, PrivateKeyEntry,
認(rèn)證指紋 (MD5)： 4B:71:06:02:7C:35:F8:BF:B1:24:E2:68:8F:65:75:15
mykey, 2014-1-23, trustedCertEntry,
認(rèn)證指紋 (MD5)： 15:29:58:68:8D:63:E1:00:8E:E6:EC:5E:AD:23:79:38

C:\Windows\system32>

四、讓客戶端信任服務(wù)器證書

1、把服務(wù)器證書導(dǎo)出為CER文件

由于是雙向SSL認(rèn)證，客戶端也要驗證服務(wù)器證書，因此，必須把服務(wù)器證書添加到瀏覽的“受信任的根證書頒發(fā)機(jī)構(gòu)”。由于不能直接將keystore格式的證書庫導(dǎo)入，必須先把服務(wù)器證書導(dǎo)出為一個單獨(dú)的CER文件，使用如下命令：

keytool -keystore D:\home\tomcat.keystore -export -alias tomcat -file D:\home\tomcat.cer (tomcat為你設(shè)置服務(wù)器端的證書名)。

C:\Windows\system32>keytool -keystore D:\tomcat.keystore -export -alias tomcat -file D:\tomcat.cer
輸入keystore密碼：
保存在文件中的認(rèn)證 <D:\tomcat.cer>

C:\Windows\system32>

2、在客戶端安裝服務(wù)器證書

雙擊“tomcat.cer”，按照提示安裝證書，將證書填入到“受信任的根證書頒發(fā)機(jī)構(gòu)”。

3、檢查安裝結(jié)果

IE -> Internet選項 -> 內(nèi)容 -> 證書

五、配置Tomcat服務(wù)器

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 
      maxThreads="150" scheme="https" secure="true" 
      clientAuth="false" sslProtocol="TLS" 
      keystoreFile="D:\\tomcat.keystore" keystorePass="888888" 
      truststoreFile="D:\\tomcat.keystore" truststorePass="888888" />

注意服務(wù)端證書名保持一致

屬性說明：