openssl搭建双向认证https

时间 2019-12-11

标签 openssl 搭建双向认证 https 栏目 SSL 繁體版

原文原文链接

http://www.barretlee.com/blog/2015/10/05/how-to-build-a-https-server/

http://blog.163.com/fangjinbao@126/blog/static/50873786201111265749952/

1、生成密钥、证书

第一步，为服务器端和客户端准备公钥、私钥git

# 生成服务器端私钥
openssl genrsa -out server.key 1024
# 生成服务器端公钥
openssl rsa -in server.key -pubout -out server.pem


# 生成客户端私钥
openssl genrsa -out client.key 1024
# 生成客户端公钥
openssl rsa -in client.key -pubout -out client.pem

第二步，生成 CA 证书web

# 生成 CA 私钥
openssl genrsa -out ca.key 1024
# X.509 Certificate Signing Request (CSR) Management.
openssl req -new -key ca.key -out ca.csr
# X.509 Certificate Data Management.
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

在生成csr申请文件的时候须要填写公司的具体信息，如：apache

➜  keys  openssl req -new -key ca.key -out ca.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Zhejiang
Locality Name (eg, city) []:Hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My CA
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:*.yunzhu.com
Email Address []:

第三步，生成服务器端证书和客户端证书（服务器端证书须要特别注意申请的域名或者ip，客户端会验证本身请求的地址是否和证书里面的地址是否相同）windows

# 服务器端须要向 CA 机构申请签名证书，在申请签名证书以前依然是建立本身的 CSR 文件
openssl req -new -key server.key -out server.csr
# 向本身的 CA 机构申请证书，签名过程须要 CA 的证书和私钥参与，最终颁发一个带有 CA 签名的证书
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt

# client 端
openssl req -new -key client.key -out client.csr
# client 端到 CA 签名
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt

四、生成pkcs12格式证书（该格式证书包含CA证书，私钥和本身的证书）
在tomcat中实现双向认证有时须要pkcs12格式的证书（该证书包含根证书、服务器端或客户端的证书和密钥文件）浏览器

4.一、生成pkcs12服务器证书tomcat.p12，设置密码为1234563
openssl pkcs12 -export -in server/server.crt -inkey server/server.key -out server/tomcat.p12 -name tomcat -CAfile ca/ca.crt -caname root -chain
1234563(后边Tomcat的配置文件中须要)tomcat

4.二、生成pkcs12客户端证书client1.p12,设置密码为1234562服务器

openssl pkcs12 -export -in client/client.crt -inkey client/client.key -out client/client.p12 -name client -chain -CAfile ca/ca.crt
1234562 回车(设置密码为空，在用户导入时不用输入密码) 回车tcp

五、有时可能须要别的格式的证书ui

生成pem格式证书spa

cat private/privatekey.crt private/privatekey.key> private/privatekey.pem

cat server/server.crt server/server.key > server/server.pem

2、tomcat实现双向认证

按照以上方法证书生成后，咱们再配置TomCat便可实现双向认证。此时服务器端咱们只用到服务器端pkcs12格式的证书tomcat.p12和CA的根证书ca.crt便可，客户端用到pkcs12格式的证书client.p12。

一、将以上建立的证书server.crt和tomcat.p12拷贝到tomcat主目录下的conf文件夹下。
cp server/server.crt server/tomcat.p12 /home/apache-tomcat-6.0.35/conf/

二、建立服务器信任的CA证书库（原理上导入CA证书便可，可是本身作实验发现导入CA证书致使服务端不信任客户端，导入客户端的证书以后就行了，不知道哪里出错了）
把ca.crt证书导入信任证书库，命令行模式进入tomcat主目录下的conf目录，执行如下命令：
cd /home/apache-tomcat-6.0.35/conf/
keytool -keystore truststore.jks -keypass 111111 -storepass 111111 -alias ca -import -trustcacerts -file /usr/local/openssl/ca/ca.crt

*若是出现ca已经存在的错误，keytool -delete -alias ca -keystore truststore.jks 111111（keytool的密码，上一次使用时使用的密码）

能够用如下命令查看信任证书库内容：
keytool -keystore truststore.jks -keypass 111111 -storepass 111111 -list -v

(
参考修改keytool的密码：
keytool -storepasswd -new 123456 -storepass 111111 -keystore truststore.jks
其中-storepass指定原密码，-new指定新密码。
keytool -delete -alias ca -keystore truststore.jks 要求输入的密码就是上边修改的密码

)

三、配置Tomcat支持HTTPS双向认证
修改tomcat的conf目录里的server.xml文件（$TOMCAT_HOME/conf/server.xml），找到相似下面内容的配置处，添加配置以下：

配置好后，重启tomcat，

/home/apache-tomcat-6.0.35/bin/catalina.sh stop

/home/apache-tomcat-6.0.35/bin/catalina.sh start

能够监控8443端口看https是否启动起来：

netstat –an|grep 8443
tcp 0 0 :::8443 :::* LISTEN

3、客户端安装证书：客户端导入client1.p12 证书，windows系统双击安装便可。

经过浏览器https方式访问服务器的web时会提示选择证书。

安装CA的证书来让客户端来信任服务端的证书

https：//服务器Ip地址：服务端口号