openssl搭建双向认证https

时间:2022-07-27 13:11:10

http://www.barretlee.com/blog/2015/10/05/how-to-build-a-https-server/

http://blog.163.com/fangjinbao@126/blog/static/50873786201111265749952/

一、生成密钥、证书

        第一步,为服务器端和客户端准备公钥、私钥

# 生成服务器端私钥
openssl genrsa -out server.key 1024
# 生成服务器端公钥
openssl rsa -in server.key -pubout -out server.pem


# 生成客户端私钥
openssl genrsa -out client.key 1024
# 生成客户端公钥
openssl rsa -in client.key -pubout -out client.pem

        第二步,生成 CA 证书

# 生成 CA 私钥
openssl genrsa -out ca.key 1024
# X.509 Certificate Signing Request (CSR) Management.
openssl req -new -key ca.key -out ca.csr
# X.509 Certificate Data Management.
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

         在生成csr申请文件的时候需要填写公司的具体信息,如:

➜  keys  openssl req -new -key ca.key -out ca.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Zhejiang
Locality Name (eg, city) []:Hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My CA
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:*.yunzhu.com
Email Address []:

           第三步,生成服务器端证书和客户端证书(服务器端证书需要特别注意申请的域名或者ip,客户端会验证自己请求的地址是否和证书里面的地址是否相同)

# 服务器端需要向 CA 机构申请签名证书,在申请签名证书之前依然是创建自己的 CSR 文件
openssl req -new -key server.key -out server.csr
# 向自己的 CA 机构申请证书,签名过程需要 CA 的证书和私钥参与,最终颁发一个带有 CA 签名的证书
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt

# client 端
openssl req -new -key client.key -out client.csr
# client 端到 CA 签名
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt

 

4、生成pkcs12格式证书(该格式证书包含CA证书,私钥和自己的证书)
在tomcat中实现双向认证有时需要pkcs12格式的证书(该证书包含根证书、服务器端或客户端的证书和密钥文件)

4.1、生成pkcs12服务器证书tomcat.p12,设置密码为1234563
openssl pkcs12 -export -in server/server.crt -inkey server/server.key -out server/tomcat.p12 -name tomcat -CAfile ca/ca.crt -caname root -chain
1234563(后边Tomcat的配置文件中需要)

4.2、生成pkcs12客户端证书client1.p12,设置密码为1234562

openssl pkcs12 -export -in client/client.crt -inkey client/client.key -out client/client.p12 -name client -chain -CAfile ca/ca.crt 
1234562  回车(设置密码为空,在用户导入时不用输入密码) 回车

5、有时可能需要别的格式的证书

生成pem格式证书

cat private/privatekey.crt  private/privatekey.key> private/privatekey.pem

cat server/server.crt  server/server.key > server/server.pem

二、tomcat实现双向认证

按照以上方法证书生成后,我们再配置TomCat即可实现双向认证。此时服务器端我们只用到服务器端pkcs12格式的证书tomcat.p12和CA的根证书ca.crt即可,客户端用到pkcs12格式的证书client.p12。

1、将以上创建的证书server.crt和tomcat.p12拷贝到tomcat主目录下的conf文件夹下。
cp server/server.crt server/tomcat.p12 /home/apache-tomcat-6.0.35/conf/

2、创建服务器信任的CA证书库(原理上导入CA证书即可,但是自己做实验发现导入CA证书导致服务端不信任客户端,导入客户端的证书之后就好了,不知道哪里出错了)
把ca.crt证书导入信任证书库,命令行模式进入tomcat主目录下的conf目录,执行以下命令: 
cd /home/apache-tomcat-6.0.35/conf/
keytool -keystore truststore.jks -keypass 111111 -storepass 111111 -alias ca -import -trustcacerts -file /usr/local/openssl/ca/ca.crt

*如果出现ca已经存在的错误,keytool -delete -alias ca -keystore truststore.jks      111111(keytool的密码,上一次使用时使用的密码)

可以用以下命令查看信任证书库内容:
keytool -keystore truststore.jks -keypass 111111 -storepass 111111 -list -v

(
 参考修改keytool的密码:
 keytool -storepasswd -new 123456  -storepass 111111 -keystore truststore.jks
  其中-storepass指定原密码,-new指定新密码。
  keytool -delete -alias ca -keystore truststore.jks  要求输入的密码就是上边修改的密码

)

3、配置Tomcat支持HTTPS双向认证
修改tomcat的conf目录里的server.xml文件($TOMCAT_HOME/conf/server.xml),找到类似下面内容的配置处,添加配置如下:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS"
        keystoreFile="conf/tomcat.p12" keystorePass="1234563" keystoreType="PKCS12"
        truststoreFile="conf/truststore.jks" truststorePass="111111" truststoreType="JKS"
 />

配置好后,重启tomcat,

/home/apache-tomcat-6.0.35/bin/catalina.sh stop

/home/apache-tomcat-6.0.35/bin/catalina.sh start

可以监控8443端口看https是否启动起来:

netstat –an|grep 8443
tcp       0      0 :::8443                     :::*                    LISTEN

三、客户端安装证书:客户端导入client1.p12 证书,windows系统双击安装即可。

     通过浏览器https方式访问服务器的web时会提示选择证书。

     安装CA的证书来让客户端来信任服务端的证书

   https://服务器Ip地址:服务端口号