使用Tomcat服务器、IE浏览器配置https双向认证

   日期:2020-11-02     浏览:101    评论:0    
核心提示:信息系统安全作业——数字证书的配置以及应用简述https的基本原理keytool工具的基本使用搭建Tomcat服务器以及认证自签证书

keytool、Tomcat服务器、IE浏览器配置https双向认证

首先简述https原理

1,HTTP、HTTPS、SSL、TLS介绍与相互关系
(1) HTTP:平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的(明文),因此使用HTTP协议传输隐私信息非常不安全。
(2) HTTPS:为了保证隐私数据能加密传输,采用SSL/TLS协议用于对HTTP协议传输的数据进行加密,也就是HTTPS。
(3) SSL:SSL(Secure Sockets Layer)协议是由网景公司设计,后被IETF定义在RFC 6101中。目前的版本是3.0。
(4) TLS:TLS可以说是SSL的改进版。是由IETF对SSL 3.0进行了升级而出现的,定义在RFC 2246。实际上我们现在的HTTPS都是用的TLS协议。

2,TLS/SSL特点
(1)HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。
(2)TLS/SSL中使用了非对称加密,对称加密以及HASH算法。
其中 非对称加密算法用于在握手过程中加密生成的密码, 对称加密算法用于对真正传输的数据进行加密,而 HASH算法用于验证数据的完整性。
(3)TLS握手过程中如果有任何错误,都会使加密连接断开,从而阻止了隐私信息的传输。

步骤如下

keytool自签证书生成、导入tomcat服务器、浏览器认证

keytool自签证书生成

前提需要配置java环境,具体方法可以借鉴java环境配置。keytool生成证书的命令学习如下keytool学习总结。

网上给出许多不同生成证书格式的案例,如果对下文有意见,建议可以学习这些格式的区别。CSR文件 和 PEM 文件什么区别

现在需要我们本次证书的生成样例:

1.打开cmd命令行输入

keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\tomcat.keystore -validity 36500

(参数说明:“D:\tomcat.keystore”含义是将证书文件的保存路径,证书文件名称是tomcat.keystore;
“-validity 36500”含义是证书有效期,36500表示100年,默认值是90天;“tomcat”为自定义证书名称)

2.输入密钥库口令:keystore密码(假设使用hangge)
您的名字与姓氏是什么:必须是TOMCAT部署主机的域名或者IP(就是你将来要在浏览器中输入的访问地址),否则浏览器会弹出警告窗口,提示用户证书与所在域不匹配。在本地做开发测试时,应填入“localhost”。输入 的密钥口令:直接回车

3.为浏览器生成证书,以便让服务器来验证它。为了能将证书顺利导入至IE,证书格式应该是PKCS12,因此,使用如下命令生成:

keytool -genkey -v -alias mykey -keyalg RSA -storetype PKCS12 -keystore D:\mykey.p12

假设客户端证书密码“123456”,其他随便填。

4.让服务器信任客户端证书,服务器要信任客户端证书,必须把客户端证书添加为服务器的信任认证。
(1)由于不能直接将PKCS12格式的证书库导入,必须先把客户端证书导出为一个单独的CER文件,使用如下命令:(下面要用到客户端证书密码“123456”)

keytool -export -alias mykey -keystore D:\mykey.p12 -storetype PKCS12 -storepass 123456 -rfc -file D:\mykey.cer

(2)将该文件导入到服务器的证书库,添加为一个信任证书使用命令如下:

keytool -import -v -file D:\mykey.cer -keystore D:\tomcat.keystore

(3)通过 list 命令查看服务器的证书库,可以看到两个证书,一个是服务器证书,一个是受信任的客户端证书:

keytool -list -keystore D:\tomcat.keystore

5.让客户端信任服务器证书
由于是双向SSL认证,客户端也要验证服务器证书。把服务器证书导出为一个单独的CER文件提供给客户端,使用如下命令:

keytool -keystore D:\tomcat.keystore -export -alias tomcat -file D:\tomcat.cer

以下为准备工作:生成的证书

导入tomcat服务器

首先需要准备Tomcat服务器,我个人下载的是8.5版本。下载以及配置可以借鉴Tomcat的下载与安装。如果是第一次使用Tomcat,启动需要打开安装目录同意管理员权限(可能是我个人的防火墙设置原因),后续使用configure tomcat,下面有start、与stop等选项,即打开与关闭服务器。浏览器打开默认的localhost:8080可以确认自己的Tomcat是否配置成功。

1.打开Tomcat的安装目录,找到conf下的server.xml文件找到如下代码段

修改为(建议不删除原来的注释段,可以把注释段复制出来再修改,避免没有记住原先代码。其次如果修改server.xml文件格式错误,可能导致Tomcat服务器重启失败!也建议修改前存一个server.xml原备份

<Connector  port = "8443"  protocol = "org.apache.coyote.http11.Http11NioProtocol"
     SSLEnabled = "true"  maxThreads = "150"  scheme = "https"
     secure = "true"  clientAuth = "true"  sslProtocol = "TLS"
     keystoreFile = "D:\tomcat.keystore"  keystorePass = "hangge"
     truststoreFile = "D:\tomcat.keystore"  truststorePass = "hangge"  />

属性说明:
clientAuth:设置是否双向验证,默认为false,设置为true代表双向验证 keystoreFile:服务器证书文件路径
keystorePass:服务器证书密码 truststoreFile:用来验证客户端证书的根证书,此例中就是服务器证书
truststorePass:根证书密码

2.这里在操作的时候,由于先前网上给出的案例非常多,也学习了一些,比如8443端口与443端口的区别。这里由于Tomcat的版本问题等等,配置非常容易导致浏览器出现“页面丢失无法访问”,也请耐心调试自己的server.xml文件。

3.在学习过程中,也可以尝试http往https的自动跳转,即在conf下的web.xml文件格式的</welcome-file-list>后面加上这样一段

<login-config>
        <!-- Authorization setting for SSL -->
        <auth-method>CLIENT-CERT</auth-method>
        <realm-name>Client Cert Users-only Area</realm-name>
    </login-config>
    <security-constraint>
        <!-- Authorization setting for SSL -->
        <web-resource-collection >
            <web-resource-name >SSL</web-resource-name>
            <url-pattern>/*</url-pattern>
        </web-resource-collection>
        <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>

浏览器认证

我尝试的是电脑的IE浏览器,简单的自签证书由于涉及安全性不高,Chrome等浏览器访问很可能导致失败(显示“证书无效”)。

1.浏览器输入https://localhost:8443/ (下图说明tomcat的https开启成功。报无效证书没关系,因为我们客户端还没导入证书)

2.导入客户端证书。工具-》internet选项-》内容-》证书-》个人-》导入,点击下一步,选择mykey.p12文件

密码输入之前设置的客户端证书密码“123456”,之后一直点击下一步、确定。

3.重启浏览器打开https://localhost:8443/,会显示下图,
4.点击允许,显示配置客户端的证书成功。
可以看到能成功访问了(地址栏“证书错误”说明目前还没双向验证,不过数据已经是使用HTTPS传输了)

5.导入服务器公钥证书(tomcat.cer)
由于是自签名的证书,为避免每次都提示不安全。这里双击tomcat.cer安装服务器证书。
注意:将证书填入到“受信任的根证书颁发机构”。再次重新访问服务器,会发现没有不安全的提示了,同时浏览器地址栏上也有个“锁”图标,表示本次会话已经通过HTTPS双向验证。点击页面刷新旁边的“锁”,即可查看自己配置的证书。

学习主要借鉴文章:Tomcat服务器配置https双向认证(使用keytool生成证书)

 
打赏
 本文转载自:网络 
所有权利归属于原作者,如文章来源标示错误或侵犯了您的权利请联系微信13520258486
更多>最近资讯中心
更多>最新资讯中心
0相关评论

推荐图文
推荐资讯中心
点击排行
最新信息
新手指南
采购商服务
供应商服务
交易安全
关注我们
手机网站:
新浪微博:
微信关注:

13520258486

周一至周五 9:00-18:00
(其他时间联系在线客服)

24小时在线客服