双向认证OPENSSL+Jboss7

最新推荐文章于 2024-05-03 18:54:31 发布
最新推荐文章于 2024-05-03 18:54:31 发布
阅读量524 收藏
点赞数


在开始之前,首先来了解SSL。

SSL全称Secure Socket Layer,它用来保证C/S之间传输的安全性。怎么保证的呢?其实它提供了双重保障:

1. Security

利用非对称加密RSA算法,公钥对报文内容加密,私钥来解密,保证了即使截获了加密信息,没有密钥不能解密。

2. Authentication

用符合X509协议的证书,对客户端或服务端进行校验,确保其就是目标机器。

更具体的可以参看JAVA关于encryption的解释:http://medialab.di.unipi.it/web/doc/JNetSec/jns_ch11.htm

SSL中keystore文件来存放密钥,主要是存放私钥,当然你也可以存放公钥,不过因为既然是公钥,必然要符合x.509协议。所以一般存放私钥的keystore和公钥的keystore要区分开。因为format不一样。

证书的生成分为两种:

1. 自认证

Java提供了一个工具,名为keytool,用该工具可以生成keystore,并可以export成符合x.509协议的证书。因为该认证过程没有任何有效单位提供保证,是为自认证。

2. CA认证

client端和server端找了一个共同的部门来做认证,他们都信赖该“有关部门”,即Certificate Authority。一些官方的CA机构都是收费滴,比如Microsoft的,一旦经过它的保证,你再打开HTTPS页面,就不会提示你该机构证书无效了。

大致过程如下:

a. 在双向认证中,client端和server端各自身生成自己的keystore存放私钥;

b. 并根据该keystore生成.csr文件,即Certificate Sign Request文件;

c. 他们把该文件发给CA,那么双方在CA那端对对方信息进行核对,以防嫁错人;

d. 核对成功后,CA盖章了,给他们签发了证书crt;

e. client和server各自拿到CA的根证书和对方的证书,导到自己的trust_keystore中。

这里,之所以要导到自己的trust_keystore中,是因为在SSL连接开始时,client端给server端发一个hello后,server会把自己的证书发给它,client端要用该证书里面的公钥对随机数进行加密,并发回给server,server会用自己的密钥进行解密校验。

浏览器里面,它会提示你,一旦你点击确定,它相当于缓存了一下,后面所有请求都会用该缓存。当然也可以自己手动把该证书导入OS的证书库去。在这里,因为是应用程序,必须要有自己的证书库,做的就是把证书导入证书库,这样就不用在应用程序里用缓存的了。


下面介绍如何进行CA认证:

一.用openssl做好CA认证准备

1.  生成目录树

CARoot

|--certs

|--newcerts

|--private

|--crl

 

以后所有操作默认在CARoot目录下

2. 生成文本数据库文件

CARoot根目录下手动创建一个空的文本数据库文件index.txt

touch index.txt

 

3. 生成证书序列号文件

在CARoot下创建证书序列号文件serial

echo "01" > serial

 

4. 修改配置文件

将$OPENSSL_HOME下的apps\openssl.cnf ( 或 /etc/ssl/openssl.cnf)拷贝到CARoot目录下,然后修改openssl.cnf文件

dir             = ./            # Where everything is kept

 

·                                 .csr file is a certificate signing request which initiates your certificate request with a certificate provider and contains administrative information about your organization.

·                                 .key file is the private key used to encrypt your site’s SSL-enabled requests.

·                                 .pem and .crt extensions are often used interchangeably and are both base64 ASCII encoded files. The technical difference is that .pem files contain both the certificate and key whereas a .crt file only contains the certificate. In reality this distinction is often ignored.

 

5. 产生CA私钥

openssl genrsa -out ./private/cakey.pem 1024

 

PS:

如果有unable to write “random’ state 错误的话,那么:

a. touch ./private/.rnd

b. openssl rand –out ./private/.rand 1024

用自己生产的rand来替代默认,会提示输入密码,如果输入密码,以后用该私钥都需要输入密码

openssl genrsa -out ./private/cakey.pem -rand ./private/.rnd -des3 2048

(pass phrase for ./private/ca.key:openssl-ca)

 

6. 创建证书请求

openssl req -new -out cacert.csr -key ./private/cakey.pem -config ./openssl.cnf

 

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:shanghai

Locality Name (eg, city) []:shanghai

Organization Name (eg, company) [Internet Widgits Pty Ltd]:mycomp     

Organizational Unit Name (eg, section) []:mycomp

Common Name (eg, YOUR name) []:10.170.65.54

Email Address []:ca@ericsson.com

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

 

注:公司和单位名字,CA,client,server最好是一样的。

Common Name,对于client和server,会做IP校验,所以必须是真实的域名或者IP


7. 自签署CA证书

openssl x509 -req -in cacert.csr -out cacert.pem -signkey ./private/cakey.pem -days 3650

 

(可选)8. 将证书导出

JkS格式:

keytool -keystore truststore.jks -keypass embms1234 -storepass embms1234 -alias ca -import -trustcacerts -file cacert.pem

 

PKCS12 格式:

openssl pkcs12 -export -clcerts -in cacert.pem -inkey private/cakey.pem -out ca.p12

 

二.签署Server端证书

1. 生成keystore文件

keytool -genkey -alias server -keyalg RSA -keystore server.keystore -dname "CN=10.175.132.209,OU=ericsson,O=ericsson,L=shanghai,ST=shanghai,C=cn" -storepass embms1234 -keypass embms1234

 

2. 根据keystore生成 csr文件

keytool -certreq -alias server -keyalg RSA -keystore server.keystore -file server.csr -storepass embms1234 -keypass embms1234

 

3. 把csr文件拷到CA服务器上

4. 签署server证书

openssl ca -config ./openssl.cnf -in ./certs/server.csr -out ./certs/server.pem

5. 导出server证书CER格式

openssl x509 -in ./certs/server.pem -out ./certs/server.cer

 

 

三.签署Client端证书

 

1. 生成keystore文件

keytool -genkey -alias client -keyalg RSA -keystore client.keystore -dname "CN=10.175.132.217,OU=ericsson,O=ericsson,L=shanghai,ST=shanghai,C=cn" -storepass embms1234 -keypass embms1234

 

2. 根据keystore生成 csr文件

keytool -certreq -alias client -keyalg RSA -keystore client.keystore -file client.csr -storepass embms1234 -keypass embms1234

 

3. 把csr文件拷到CA服务器上

4. 签署client证书

openssl ca -config ./openssl.cnf -in ./certs/client.csr -out ./certs/client.pem

5. 导出server证书CER格式

openssl x509 -in ./certs/client.pem -out ./certs/client.cer

 

四. Server端导入Client证书

1. 把client.cer, server.cer, cacert.pem拷到Server端

2. 导入根证书

keytool -keystore server.keystore -alias ca -import -file cacert.pem

 

3. 导入client和server签后的证书

keytool -keystore server.keystore -alias server -import -file server.cer

keytool -keystore server.keystore -alias client -import -file client.cer

 

4. 导出证书给client作为trust证书

keytool -export -alias server -file server.crt -keystore server.keystore -storepass embms1234 -keypass embms1234

 

五. Client端导入Server证书

1. 把client.cer, server,cer, truststore.jks, cacert.pem拷到Client端

2. 导入根证书

keytool -keystore client.keystore -alias ca -import -file cacert.pem

 

3. 导入client和server签后的证书

keytool -keystore client.keystore -alias server -import -file server.cer

keytool -keystore client.keystore -alias client -import -file client.cer

 

4. 导出证书给Server作为trust证书

keytool -export -alias client -file client.crt -keystore client.keystore -storepass embms1234 -keypass embms1234

 

六. 建立Trust证书

Client端:

1. 把server端生成server.crt拷到client端

2. 根据根证书生成trust_keystore

keytool -import -alias ca -trustcacerts -noprompt -file cacert.pem -keystore client_trust.keystore -storepass embms1234 -keypass embms1234

3. 将server端经过CA签名生成符合X509的crt导入trust_keystore

keytool -import -alias server -trustcacerts -noprompt -file server.crt -keystore client_trust.keystore -storepass embms1234 -keypass embms1234

 

 

Server端:

1. 把client端生成client.crt拷到server端

2. 根据根证书生成trust_keystore

keytool -import -alias ca -trustcacerts -noprompt -file cacert.pem -keystore server_trust.keystore -storepass embms1234 -keypass embms1234

3. 将client端经过CA签名生成符合X509的crt导入trust_keystore

keytool -import -alias client -trustcacerts -noprompt -file client.crt -keystore server_trust.keystore -storepass embms1234 -keypass embms1234

 

七. 最后配置

1. EAP6里面,更新standalone如下

 

<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true" enabled="true">

<ssl name="ssl" key-alias="server" password="embms1234" certificate-key-file="/opt/keystores/server.keystore" protocol="all" verify-client="true" ca-certificate-file="/opt/keystores/server_trust.keystore"/>

</connector>

2. 在client端发REST请求时,带上client.keystore和client_trust.keystore

双向认证OPENSSL+Jboss7 - Edison - 飞
 
双向认证OPENSSL+Jboss7 - Edison - 飞
 
benben_1678
关注
Zabbix 7.0 服务端配置文件参数参考说明
不屈的铝合金的博客
08-15 2204
Zabbix作为一款广泛使用的开源监控系统,其服务器端配置涉及多个参数,用于定制化监控服务的行为,这些参数通常在配置文件中进行设置。以下参数来源于Zabbix 7.0版本的配置文件,可以用来作为参考。
wireshark && Fiddler抓包分析与解密https && Fiddler修改https请求和响应
BRAVE MAN的博客
03-21 4286
Https理论 在说HTTPS之前先说说什么是HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。SSL目前的版本是3.0,被IETF(Internet Engineering Task Force)定义在RFC 6101中,之后IETF对SS
JBOSS 7 基于HTTPS双向SSL认证
11-28
一份完整配置文档 关于JBOSS7 的https ssl认证
双向认证OPENSSL+Jboss7 (原创)
Edison Xu
07-25 1480
转贴地址:http://xeseo.blog.163.com/blog/static/5632431620130825428120/在开始之前,首先来了解SSL。SSL全称Secure Socket Layer,它用来保证C/S之间传输的安全性。怎么保证的呢?其实它提供了双重保障:1. Security利用非对称加密RSA算法,公钥对报文内容加密,私钥来解密,保证了即使截获了加密信息,没有密钥不能
Apache+Jboss实现SSL双向认证
shilinyong2011的博客
10-16 174
最近我做的一个项目要实现CA登陆,而且使用到Apache实现均衡负载, 在网上查了很多资料,弄了快三周,最后终于实现了,现写了一个文档来和大家分享一下经验,文档是附件里的WORD文档,由于这是帮公司写的文档,写的比较多,还有许多的图片,所以就不贴出来了,自己下载看吧,里面还有一些使用到的实现过程中使用到的配置文件,以及apache2.2.4_win32_no_ssl版的安装文件,还有一个供CA测...
jboss配置ssl认证
艾米大陆
08-22 217
一个项目里有几个重要页面需要用到证书认证,如何把这几个页面配置成https,其他的页面是http. 服务是jboss. 我把server\default\deploy\jbossweb-tomcat55.sar下的 server.xml里配置 结果是整个项目访问都是用https和8443端口了。...
SSL认证(单向认证+双向认证+WebService+Jboss
捕风的汉子
08-14 581
一、SSL(Server Socket Layer)简介 Netscape公司提出的SSL协议,旨在达到 在开放网络(Internet)上安全保密地传输信息的目的,这种协议在WEB上获得了广泛的应用。 之后IETF(www.ietf.org )对SSL作了标准化,即RFC2246,并将其称为TLS(Transport Layer Security),从技术上讲,TLS1.0与SSL3.0...
使用wireshark对HTTPS解密的实践(六)--HTTPS配置时的证书生成
馒 的技术空间
02-18 4929
证书申请 申请SSL证书主要需要经过以下3个步骤:1.制作CSR文件。 CSR就是Certificate Signing Request证书请求文件。这个文件是由申请人制作,在制作的同时,系统会产生2个密钥,一个是公钥就是这个CSR文件,另外一个是私钥,存放在服务器上。要制作CSR文件,申请人可以参考WEB SERVER的文档,一般APACHE等,使用OPENSSL命令行来生成KEY+CSR2个...
Netty权威指南 第2版
07-17 693
https://www.cnblogs.com/plxz/p/9910493.html 第一章  Java的I/O演进之路 1.I/O基础入门   1.Linux网络I/O模型简介     1.阻塞I/O模型:最常用的I/O模型,缺省情况下, 所有文件操作都是阻塞的     2.非阻塞I/O模型:recvform从应用层到内核的时候,轮询检查是否有数据到来     3.I/O复用模型     4.信号渠道I/O模型     5.异步I/O:告知内核启动某个操...
分享国外安全团队及工具
热门推荐
专注企业信息安全-sec
03-19 1万+
名称 版 描述 主页 0trace 1.5 跳跃枚举工具 http://jon.oberheide.org/0trace/ 3proxy 0.7.1.1 微小的免费代理服务器。 http://3proxy.ru/ 3proxy-win32的 0.7.1....
JBoss上部署OpenSSL生成的SSL证书
牟云飞的博客
07-09 742
配置ssl大致分两种: a、直接在容器上部署,比如直接在Weblogic、JBoss、Tomcat上部署ssl; b、在代理上部署,比如Apache、Nginx; ------------------------------------------------- ------------------------------------------ 证书的生成方式有三种: a、Keytool b、OpenSSL c、iKeyman -------------------------------.
Openacs与easycwmp的安装,及Jboss上部署Openssl生成的SSL证书
最新发布
qq_44768344的博客
05-03 1878
Jboss服务端上部署使用Openssl生成的自签名证书,以及在客户端导入服务端生成的自签名证书
JBoss部署SSL证书
g471104066的博客
11-20 1907
JBoss部署SSL证书申请ssl证书pfx 转换 jks修改Jboss的配置文件以上就是阿里云的教程,不过因为SSL是要用到微信小程序中,所以个人感觉里边有个小坑。 申请ssl证书 首先在这里感谢各位前辈大佬们的无私奉献。 因为域名是在阿里云上注册的,所以直接在上边申请了免费的ssl证书,申请过程是傻瓜式的,直接下一步就ok。申请万之后,需要等一小会儿,之后就会提示审核通过,直接点击下载按钮,弹...
【HTTPS】Spring Boot客户端与服务端单向认证双向认证实例
Dream it Possible
08-17 9057
【引言】 在上篇博客中,了解了关于SSL的很多理论,本篇博客主要是总结下基于Spring Boot实现HTTPS方式请求下客户端与服务端进行双向认证的实例搭建。 有了上一篇博客的认识,对于SSL的流程已经很清楚了。使用HTTPS,通常情况下,是客户端需要校验服务端,也就是一个单向认证的过程。同时,服务端也可以校验客户端,从而达到客户端与服务端双向认证的目的。 【证书生成】 在项目搭建前,我们先使用...
Jboss7配置ssl的方法
等待希望
09-01 4183
进入jboss_hoem/standalone/configuration 找到standalone.xml 找到urn:jboss:domain:web:1.1节点 加入 然后在最后面找到socket-binding-group name="standard-sockets"节点加上port配置
Jboss配置HTTPS说明
sail_zhang的专栏
06-13 4630
Jboss配置说明<br />配置jboss的HTTP请求走SSL(HTTPS协议)<br /><!--[if !supportLists]-->l         <!--[endif]-->生成keystore 文件<br />用keytool生成server.keystore文件:<br />进入命令行<br />C:/Documents and Settings/new><br />keytool -genkey -alias tc-ssl -keyalg RSA -keystore c:/serv
2015年12月4日:让 Netty 使用 openssl
weixin_34051201的博客
12-04 589
为什么80%的码农都做不了架构师?>>> ...
nginx+php+openssl+thinkphp环境证书搭建指南
本知识点将详细介绍如何在nginx+PHP+OpenSSL+ThinkPHP的环境中搭建和配置SSL证书。 SSL证书是一种数字证书,用于建立网站与用户之间的加密连接,确保传输的数据安全,防止数据被截取或篡改。在Web开发中,SSL证书...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值