ice world

There is nothing too difficult if you put your heart into it.
posts - 104, comments - 103, trackbacks - 0, articles - 0

Java Tomcat SSL 服务端/客户端双向认证(一)

Posted on 2012-06-04 17:36 IceWee 阅读(32892) 评论(22)  编辑  收藏 所属分类: JavaTomcat
SSL——Secure Sockets Layer

双向认证(个人理解):
客户端认证:
客户端通过浏览器访问某一网站时,如果该网站为HTTPS网站,浏览器会自动检测系统中是否存在该网站的信任证书,如果没有信任证书,浏览器一般会拒绝访问,IE会有一个继续访问的链接,但地址栏是红色,给予用户警示作用,即客户端验证服务端并不是强制性的,可以没有服务端的信任证书,当然是否继续访问完全取决于用户自己。如何去除地址栏的红色警告呢?后续会介绍导入服务端证书到浏览器的方法。

服务端认证:
服务端需要获取到客户端通过浏览器发送过来的认证证书,该证书在服务端的证书库中已存在,仅仅是个匹配过程,匹配成功即通过认证,可继续访问网站资源,反之则无法显示网页,后续有截图。

基本逻辑:
1、生成服务端密钥库并导出证书;
2、生成客户端密钥库并导出证书;
3、根据服务端密钥库生成客户端信任的证书;
4、将客户端证书导入服务端密钥库;
5、将服务端证书导入浏览器。

构建演示系统
演示环境:
JDK:1.6.0_32
Tomcat:apache-tomcat-7.0.27
开发工具:MyEclipse 10
浏览器:Internet Explorer 9

一、生成密钥库和证书
可参考以下密钥生成脚本,根据实际情况做必要的修改,其中需要注意的是:服务端的密钥库参数“CN”必须与服务端的IP地址相同,否则会报错,客户端的任意。
key.script
1、生成服务器证书库

keytool
-validity 365 -genkey -v -alias server -keyalg RSA -keystore E:\ssl\server.keystore -dname "CN=127.0.0.1,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456


2、生成客户端证书库

keytool
-validity 365 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore E:\ssl\client.p12 -dname "CN=client,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass 123456 -keypass 123456


3、从客户端证书库中导出客户端证书

keytool
-export -v -alias client -keystore E:\ssl\client.p12 -storetype PKCS12 -storepass 123456 -rfc -file E:\ssl\client.cer


4、从服务器证书库中导出服务器证书

keytool
-export -v -alias server -keystore E:\ssl\server.keystore -storepass 123456 -rfc -file E:\ssl\server.cer


5、生成客户端信任证书库(由服务端证书生成的证书库)

keytool
-import -v -alias server -file E:\ssl\server.cer -keystore E:\ssl\client.truststore -storepass 123456


6、将客户端证书导入到服务器证书库(使得服务器信任客户端证书)

keytool
-import -v -alias client -file E:\ssl\client.cer -keystore E:\ssl\server.keystore -storepass 123456


7、查看证书库中的全部证书

keytool
-list -keystore E:\ssl\server.keystore -storepass 123456


二、Tomat配置
使用文本编辑器编辑${catalina.base}/conf/server.xml
找到Connector port="8443"的标签,取消注释,并修改成如下:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
               maxThreads
="150" scheme="https" secure="true"
               clientAuth
="true" sslProtocol="TLS"
               keystoreFile
="${catalina.base}/key/server.keystore" keystorePass="123456"
               truststoreFile
="${catalina.base}/key/server.keystore" truststorePass="123456"/>

备注:
keystoreFile:指定服务器密钥库,可以配置成绝对路径,如“D:/key/server.keystore”,本例中是在Tomcat目录中创建了一个名称为key的文件夹,仅供参考。
keystorePass:密钥库生成时的密码
truststoreFile:受信任密钥库,和密钥库相同即可
truststorePass:受信任密钥库密码

三、建立演示项目
项目结构图:
项目名称:SSL(随意)


SSLServlet.java
package com.icesoft.servlet;

import java.io.IOException;
import java.io.PrintWriter;
import java.security.cert.X509Certificate;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
* <p>
* SSL Servlet
* </p>
*
*
@author IceWee
* @date 2012-6-4
*
@version 1.0
*/

public class SSLServlet extends HttpServlet {

   
private static final long serialVersionUID = 1601507150278487538L;
   
private static final String ATTR_CER = "javax.servlet.request.X509Certificate";
   
private static final String CONTENT_TYPE = "text/plain;charset=UTF-8";
   
private static final String DEFAULT_ENCODING = "UTF-8";
   
private static final String SCHEME_HTTPS = "https";

   
public void doGet(HttpServletRequest request, HttpServletResponse response)
           
throws ServletException, IOException {
        response.setContentType(CONTENT_TYPE);
        response.setCharacterEncoding(DEFAULT_ENCODING);
        PrintWriter out
= response.getWriter();
        X509Certificate[] certs
= (X509Certificate[]) request.getAttribute(ATTR_CER);
       
if (certs != null) {
           
int count = certs.length;
            out.println(
"共检测到[" + count + "]个客户端证书");
           
for (int i = 0; i < count; i++) {
                out.println(
"客户端证书 [" + (++i) + "]: ");
                out.println(
"校验结果:" + verifyCertificate(certs[--i]));
                out.println(
"证书详细:\r" + certs[i].toString());
            }

        }
else {
           
if (SCHEME_HTTPS.equalsIgnoreCase(request.getScheme())) {
                out.println(
"这是一个HTTPS请求,但是没有可用的客户端证书");
            }
else {
                out.println(
"这不是一个HTTPS请求,因此无法获得客户端证书列表 ");
            }

        }

        out.close();
    }


   
public void doPost(HttpServletRequest request, HttpServletResponse response)
           
throws ServletException, IOException {
        doGet(request, response);
    }

   
   
/**
     * <p>
     * 校验证书是否过期
     * </p>
     *
     *
@param certificate
     *
@return
    
*/

   
private boolean verifyCertificate(X509Certificate certificate) {
       
boolean valid = true;
       
try {
            certificate.checkValidity();
        }
catch (Exception e) {
            e.printStackTrace();
            valid
= false;
        }

       
return valid;
    }


}


web.xml
说明:该演示项目强制使用了SSL,即普通的HTTP请求也会强制重定向为HTTPS请求,配置在最下面,可以去除,这样HTTP和HTTPS都可以访问。
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0"
    xmlns
="http://java.sun.com/xml/ns/javaee"
    xmlns:xsi
="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation
="http://java.sun.com/xml/ns/javaee
    http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
>
     
<display-name>Secure Sockets Layer</display-name>   
   
   
<servlet>
       
<servlet-name>SSLServlet</servlet-name>
       
<servlet-class>com.icesoft.servlet.SSLServlet</servlet-class>
   
</servlet>
   
<servlet-mapping>
       
<servlet-name>SSLServlet</servlet-name>
       
<url-pattern>/sslServlet</url-pattern>
   
</servlet-mapping>
   
   
<welcome-file-list>
     
<welcome-file>index.jsp</welcome-file>
   
</welcome-file-list>

   
<!-- 强制SSL配置,即普通的请求也会重定向为SSL请求 --> 
   
<security-constraint>
       
<web-resource-collection>
           
<web-resource-name>SSL</web-resource-name>
           
<url-pattern>/*</url-pattern><!-- 全站使用SSL -->
       
</web-resource-collection>
       
<user-data-constraint>
           
<description>SSL required</description>
           
<!-- CONFIDENTIAL: 要保证服务器和客户端之间传输的数据不能够被修改,且不能被第三方查看到 -->
           
<!-- INTEGRAL: 要保证服务器和client之间传输的数据不能够被修改 -->
           
<!-- NONE: 指示容器必须能够在任一的连接上提供数据。(即用HTTP或HTTPS,由客户端来决定)-->
           
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
       
</user-data-constraint>
   
</security-constraint>
</web-app>


index.jsp
<%@ page language="java" pageEncoding="UTF-8"%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>客户端证书上传</title>
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="expires" content="0">   
</head>
<body>
<form action="${pageContext.request.contextPath}/sslServlet" method="post">
   
<input type="submit"  value="提交证书"/>
</form>
</body>
</html>


四、演示及配置
发布演示项目,通过浏览器访问:http://127.0.0.1:8080/SSLhttps://127.0.0.1:8443/SSL,得到相同的结果,如图:






得到如上结果的原始是因为客户端没有通过服务端的安全认证,接下来将服务端给客户端颁发的证书导入到浏览器中:
双击“client.p12”



弹出窗口,下一步



默认,下一步



输入生成密钥时的密码“123456”,下一步



下一步



完成



成功



再次访问http://127.0.0.1:8080/SSLhttps://127.0.0.1:8443/SSL,弹出提示框:



点击确定后,IE浏览器自动阻止了继续访问,并给予警告提示,原因是浏览器中未导入该网站的可信证书





点击“继续浏览此网站”,弹出提示,点击确定



哇!鲜红的地址栏,够醒目吧!你访问的网站不安全那,亲!



点击“提交证书”按钮,返回正确结果!



可以看出,客户端并没有服务端那么严格,只要未通过验证就甭想访问,下面将服务端生成的信任证书导入到浏览器的根证书中,这样红色的地址栏就会消失了!
开始导入服务端信任证书,不能双击“server.cer”,需要手动导入到受信任的根证书机构中去。



浏览器Internet选项-内容-证书



点击“受信任的根证书颁发机构”



点击“导入”



下一步



手动选择“server.cer”,下一步






下一步



完成



点“是”




成功





可以看到我们刚刚导入的根证书



把所有浏览器窗口都关掉,再次访问网站,发现鲜红色已经逝去



点击“提交证书”按钮,一切正常了,双向认证的DEMO结束了!





全文完!

Feedback

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2012-08-18 17:54 by 爱学习的猪
你好!我是这篇文章的读者,我也是按照上面的方法配置好了tomcat,当我再次访问http://127.0.0.1:8080/SSL或https://127.0.0.1:8443/SSL,弹出提示框,点击确定后,不是进入的IE浏览器自动阻止了继续访问页面,而是进入了网页无法访问页面,这是怎么了呢?谢谢解答

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2012-09-07 10:04 by Jakey
请问第5步中生成的 client.truststore 这个文件有什么用?

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2012-09-07 18:13 by IceWee
@爱学习的猪
你的浏览器没有导入证书,所以直接就被拒绝了,客户端不信任服务端,被浏览器自动阻止了

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2012-09-07 18:13 by IceWee
@Jakey
让客户端信任服务端的证书

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2012-11-20 17:50 by redocde
看了N多的双向配置SSL的教程,都是抄袭来抄袭去的,还是楼主的可用,一次成功.thanks

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2012-11-20 17:57 by redocde
第五步是必须的吗?将服务端证书导入到信任库中,没看懂什么意思.

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2012-11-21 09:59 by IceWee
@redocde
是的,并不是必须的,只是会有警示提示而已

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2012-12-24 21:30 by Francis
你好,我照着你的这个做,成功了,表示感谢。
不过我有一些问题,你在最开始提到的服务器和客户端发来的证书做匹配,如果匹配不成功则不显示页面,这点没见你的demo里面有,请问这点您做到了吗?是在程序里面做还是修改服务器的一些配置?这点很好奇,如有结果希望您能答复一下

另外还有一个小问题,就是客户端的证书可以和IP绑定吗?如果安全措施周全点的话会希望客户端的证书只能是在指定IP上面使用,并不是所有客户端都可以用一个证书。
603005981@qq.com

# re: Java Tomcat SSL 服务端/客户端双向认证(一)[未登录]  回复  更多评论   

2013-04-12 14:16 by cc
您好:
楼主的语文水平真是高. 思路清晰、讲解到位。肯定是大师级任务。
请教老师一个问题:按照你演示demo操作配置 ,如果有了证书,以后的客户端和服务端的数据交互就是安全的吗?
qq: 752184245@qq.com

# re: Java Tomcat SSL 服务端/客户端双向认证(一)[未登录]  回复  更多评论   

2013-05-20 16:31 by Sam
最近在做一个需要证书和account&password共同验证的一个功能,看了你的文章表示懂了很多,但还是有很多疑问,大师能加我QQ吗?我相信以后我也会写一篇类似文章去帮助更多的人。谢谢了。QQ:176128341

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2013-07-20 21:24 by 炮哥
非常不错。非常感谢

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2013-08-04 20:20 by landor
非常详细,完全copy就通过,非常感谢!

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2013-11-21 16:43 by sfw
你好,按照您的方式确实能成功,但是我现在想改成用IP地址访问,是不是只要修改服务端证书的CN=127.0.0.1为本机IP地址?我改为CN=192.168.0.11后测试不成功,弹出两次确认证书界面后,直接跳到网页无法访问的界面

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2013-11-21 17:17 by sfw
找到问题了,把IE重置就可以了,估计是之前有做过设置@sfw

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2013-12-16 10:56 by 张国印
数据在传输过程中用的什么加密算法,如何查看呢?如果用的是对称加密算法,加密秘钥存储在哪里呢?

# re: Java Tomcat SSL 服务端/客户端双向认证(一)[未登录]  回复  更多评论   

2014-04-24 18:16 by deng
按照你的方法,果然成功了!非常感谢!

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2014-06-05 23:01 by jianzao
你好,按照您的文章能看懂这个SSL配置,只是按你的测试项目运行时,进入servlet里,X509Certificate[] certs = (X509Certificate[]) request.getAttribute(ATTR_CER); certs的值总是为null,真不知道是什么原因.
跪求解救!

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2014-09-06 11:49 by 1111
技术贴,大赞一个

# re: Java Tomcat SSL 服务端/客户端双向认证(一)[未登录]  回复  更多评论   

2015-03-24 16:16 by liu
@jianzao
tomcat 里的server.xml有一个属性clientAuth="false" 改为true

# re: Java Tomcat SSL 服务端/客户端双向认证(一)  回复  更多评论   

2015-12-12 17:11 by shiguang0122
步骤清除,讲解清晰,常见错误解释明白。
由于以前不成功的尝试,页面总是打不开,后来看评论,重置浏览器,就可以了。

# re: Java Tomcat SSL 服务端/客户端双向认证(一)[未登录]  回复  更多评论   

2016-04-06 11:27 by luo
牛掰,谢谢啦,辛苦了

# re: Java Tomcat SSL 服务端/客户端双向认证(一)[未登录]  回复  更多评论   

2016-04-28 17:31 by su
谢谢分享

只有注册用户登录后才能发表评论。


网站导航: