使用OpenSSL工具构建自签名根证书、服务器证书和客户证书,搭建双向认证服务...

Tomcat双向认证配置
最新推荐文章于 2024-02-03 21:24:15 发布
原创 最新推荐文章于 2024-02-03 21:24:15 发布 · 349 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #操作系统

本文介绍如何使用Linux下的shell脚本生成证书,并配置Tomcat服务器实现双向SSL认证。包括生成CA证书、服务器证书及客户端证书的过程,以及配置Tomcat server.xml文件启用SSL并设置信任存储。

Linux下的shelle脚本(注意最后一行keytool命令位于$JAVA_HOME/bin下):

md ca
md client
md server
md jks
openssl genrsa -out ca/ca-key.pem 2048
openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem
openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650
openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12
openssl genrsa -out server/server-key.pem 2048
openssl req -new -out server/server-req.csr -key server/server-key.pem
openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12
openssl genrsa -out client/client-key.pem 2048
openssl req -new -out client/client-req.csr -key client/client-key.pem
openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12
keytool -keystore jks/truststore.jks -keypass changeit -storepass 123456 -alias ca -import -trustcacerts -file ca/ca-cert.pem

tomcat的conf目录下server.xml片段:

<Connector
        SSLEnabled="true"
        clientAuth="true"
        maxThreads="150"
        port="443"
        protocol="HTTP/1.1"
        scheme="https"
        secure="true"
        sslProtocol="TLS"
        keystoreFile="conf/server.p12"
        keystorePass="123456"
        keystoreType="PKCS12"
        truststoreFile="conf/ca.p12"
        truststorePass="123456"
        truststoreType="PKCS12" />

 

参考文章:

实现Tomcat双向认证》 

 

2012.03.29 15:40补充:

不知道为什么,按上面所说配置的server.xml没有起作用,改成JKS方式的truststore才能成功,如下:

 

<Connector 
		port="8443" 
		protocol="HTTP/1.1" 
		SSLEnabled="true"
		maxThreads="150" 
		scheme="https" 
		secure="true"
		clientAuth="true" 
		sslProtocol="TLS"
		keystoreFile="/Applications/tomcat/ssl/server/server.p12"
		keystorePass="123456"
		keystoreType="PKCS12"
		truststoreFile="/Applications/tomcat/ssl/jks/truststore.jks"
		truststorePass="123456"
		truststoreType="JKS"/>
 

 

 

OpenSSL自签名证书认证
一二③木头人
08-17 2443
前言 由于信息在传输的过程中都采用明文 , 故是很不安全的做法 , 所以需要对数据进行加密 , 将明文数据转换为密文数据传输 . 因此采用OpenSSL生成自签名证书服务移动端使用 , 但是查找了网上的很多的博客, 发现很多都介绍的不够详细 , 因此耗费了很多的时间 , 顾将自己的总结, 提供给大家 , 以便参考. OpenSSL认识 openssl 是一个开放源代码的实现了SSL及相...
openssl自签名ca证书,以及签发服务端/客户证书
bglmmz的专栏
10-26 3129
网上由很多,但是感觉操作比较复杂,有些签发的证书不可用。现在介绍简单方法。假设已经安装了openssl,已有sudo权限。已经建立路径:/ope/ca,所有操作都在此路径下进行。 1. 准备工作,由于我们签发的证书,不一定用于有域名的情况,而且服务端可能部署于任何Ip地址,所以,要准备一个证书的扩展配置,文件命为:server-ext.cnf,用echo命令直接生成此文件,命令行: echo "subjectAltName=DNS:*.demo.com,IP:0.0.0.0" > server-
自签署根证书服务器证书客户证书
08-18
自签署根证书服务器证书客户证书,做起来真麻烦
openssl自签名证书生成与单双向验证
gx_1983的专栏
08-23 1万+
什么加密,签名 下面这个博客解释的很好: https://www.cnblogs.com/f-ck-need-u/p/6089523.html 签名 在保证了数据的安全性后,还需要保证数据的完整性、一致性以及数据来源的可靠性。 对于数据的完整性一致性,使用单向加密算法,通过hash函数计算出数据独一无二的校验码,这个校验码称为“信息摘要(Message Digest)”。 对于数据来源...
openssl自签名CA根证书服务客户证书生成并模拟单向/双向证书验证
最新发布
赴前尘
02-03 2327
openssl自签名CA根证书服务客户证书生成并模拟单向/双向证书验证
一文了解数字签名、数字证书、自签证书
叮当猫的喵i
09-26 5784
数字签名是基于非对称密钥加密技术与数字摘要技术的应用,是一个包含电子文件信息以及发送者身份,并能够鉴别发送者身份以及发送信息是否被篡改的一段数字串。指明序列号文件,序列号文件是ca指令签发证书的时候的依据文件之一,它从该文件读取当前签发的证书的序列号并将序列号文件中的序列号加1,这样,就可以确保证书的序论号是递增的,不会重复。但是,上述文件是有格式的,只能是。CSR文件必须有CA的签名才可形成证书,可将此文件发送到verisign等地方由它验证,要交一大笔钱,何不自己做CA呢。可以生成密钥,创立证书
基于openssl的单向双向认证
zhanglei_admin的博客
07-27 3196
1、前言    最近工作涉及到https,需要修改nginx的openssl模块,引入keyless方案。关于keyless可以参考CloudFlare的官方博客: https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/?utm_source=tuicool&utm_medium=referral。 在openssl的基础上修改私钥校验过程,因此需要对openssl认证认证流程需要熟悉一下。SSL
自签署根证书服务器客户证书的实现方法
通过本次提供的文件结构(`root/`、`server/`、`client/`),我们可以清晰地看到一个完整的自签名证书链是如何构建的,这对于理解SSL/TLS工作原理、实现双向认证搭建安全服务等具有非常重要的实践意义。
OpenSSL证书生成与自签名流程详解
本文围绕“OpenSSL证书生成指南[项目源码]”这一主题,深入剖析其标题与描述中所涵盖的关键技术知识点,并结合标签“OpenSSL证书管理、加密技术”,系统性地阐述从零开始使用OpenSSL工具构建数字证书的全过程...
基于OpenSSL的签名工具与自定义脚本使用指南
在本文件中提到的“openssl签名工具”涉及使用 OpenSSL 实现证书生成、私钥创建、自签名 CA 建立以及为其他证书进行签名的一整套操作流程,尤其强调了通过用户自定义脚本(位于 bin\yy 目录下)来自动化这些功能,极...
Java客户端与VC服务器实现SSL双向认证
通常需要搭建私有CA(Certificate Authority),使用工具OpenSSL生成根证书,并以此签发服务器证书客户证书服务器证书需绑定公网IP或域名,客户证书则分发给授权用户。Java客户端可通过`-Djavax.net.ssl....
使用OpenSSL 1.0.0e版本制作数字证书
这包括先生成 CA 的根私钥根证书,然后用此 CA 对其他实体提交的 CSR 进行签名,从而形成证书链。这种方式广泛应用于企业级应用、物联网设备认证、微服务间 mTLS(双向 TLS)通信等场景。通过合理配置 OpenSSL...
openssl自签名根证书服务客户证书制作
ilytl的专栏
09-06 6650
1.生成CA证书目前不使用第三方权威机构的CA来认证,自己充当CA的角色  root  openssl genrsa -out root/root-key.pem 1024       openssl req -new -out root/root-req.csr -key root/root-key.pem                    pass qazwsx    openss
自建CA并签名server证书实现https
Andy Tools
05-14 1万+
因为目前环境在本地进行测试,所以我们采用自建CA并签名server证书的方式实现https。(如果使用AWS服务则是AWS作为CA,并根据我们提供的资料生成server证书) 数字签名相关知识课参阅:https://blog.csdn.net/m0_37263637/article/details/80285143 server环境:nginx(ubuntu) 工具openssl 名词...
如何将证书导入到“受信任的根证书颁发机构”存储区中
热门推荐
luyangbin01的专栏
03-24 7万+
win+r 运行mmc; 文件>添加删除管理单元; 在可用的管理单元中选择”证书“,点击添加》确定; 在控制节点中展开证书》受信任的证书颁发机构》证书,右击所有任务》导入.
openssl生成根证书服务器客户
baidu_19338587的博客
11-09 6379
1、下载OpenSSL        linux:我们可以到OpenSSL的官网(http://www.openssl.org/source/)下载最新的源码,下载后需要对源码进行编译才能使用       windows:OpenSSL提供了windows版的二进制发行版本地址是--http://www.slproweb.com/products/Win32OpenSSL.html    
Windows下OpenSSL创建CA证书以及客户服务器证书
iihero@优快云
12-28 1万+
由于实验需要,需要手动制作CA证书以及客户服务器证书,总结如下:最近两天,查阅了一些关于创建证书的资料,发现网上很多介绍并不是很完整,不具有完全的可操作性。创建证书,我目前知道的大概这么几种:1.keytool   不能创建CA证书2.Sybase ASA自带的createcert.exe   好像不能创建PKCS12型证书3.OpenSSL   功能最强大。所以,这里干脆只介绍OpenSS
OpenSSL证书服务
S_XYY的博客
05-21 438
3.OpenSSL证书服务 问题 本案例要求熟悉OpenSSL工具的基本使用,完成以下任务操作: 1)使用OpenSSL加密/解密文件 2)搭建企业自有的CA服务器,为颁发数字证书提供基础环境 方案 使用两台RHEL6虚拟机,其中svr5作为CA数字证书服务器,而pc205作为测试用客户机,如图-4所示。 步骤 实现此案例需要按照如下步骤进行。 步骤一:使用OpenSSL加密/解密文件 ...
openssl双向认证 (自签发证书实例)
chen55bo的专栏
12-22 1万+
基础知识 SSL:Secure Socket Layer,安全套接字层,它位于TCP层与Application层之间。提供对Application数据的加密保护(密文),完整性保护(不被篡改)等安全服务,它缺省工作在TCP 443 端口,一般对HTTP加密,即俗称的HTTPS。 SSL双向认证具体过程 ① 浏览器发送一个连接请求给安全服务器。 ② 服务器将自己的证书,以及同证书
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值