版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、SSL双向认证证书制作流程含单向SSL一、 证书制作:1、 生成服务器密钥(库):keytool -genkey -alias server -keyalg RSA -keysize 2048 -validity 3650 -dname CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN -keypass 123456 -keystore server.jks -storepass 123456CN:要签名的域名或IP(说明:此处为要配置SSL服务器IP或域名)OU:组织单位名称,如:公司注册简称O:组织名称,如:公司英文全称L:城市或地区名
2、称,如:BeijingST:州或省份名称,如:BeijingC:单位的两字母国家代码,如:CN2、 验证生成的服务器密钥(库):keytool -list -v -keystore server.jks -storepass 1234563、 为步骤1生成的服务器密钥(库)创建自签名的证书:keytool -selfcert -alias server -keystore server.jks -storepass 1234564、 验证生成的服务器密钥(库):keytool -list -v -keystore server.jks -storepass 1234565、 导出自签名证书:k
3、eytool -export -alias server -keystore server.jks -file server.cer -storepass 123456说明:此证书为后续要导入到浏览器中的受信任的根证书颁发机构。6、 生成客户端密钥(库):说明:keytool genkey命令默认生成的是keystore文件,但为了能顺利导入到IE或其他浏览器中,文件格式应为PKCS12。稍后,此P12文件将导入到IE或其他浏览器中。keytool -genkey -alias client -keyalg RSA -keysize 2048 -validity 3650 -dname CN=
4、localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN -storetype PKCS12 -keypass 123456 -keystore client.p12 -storepass 123456CN:要签名的域名或IP(特别说明:这里是客户端机构的域名或IP)OU:组织单位名称,如:公司注册简称O:组织名称,如:公司英文全称L:城市或地区名称,如:BeijingST:州或省份名称,如:BeijingC:单位的两字母国家代码,如:CN7、 提取客户端密钥的公钥:只有客户端密钥库文件还不行,还需要一个证书文件。毕竟证书文件才是直接提供给外界的公钥凭证
5、,因此需要将客户端密钥库文件中的公钥导入到某个证书文件中。keytool -export -alias client -keystore client.p12 -storetype PKCS12 -rfc -file client.cer -storepass 1234568、 将客户端密钥库的公钥导入到服务端密钥库中:keytool -import -v -file client.cer -keystore server.jks -storepass 1234569、 验证生成的服务器密钥(库):keytool -list -v -keystore server.jks -storepass
6、 123456说明:验证步骤8的公钥是否导出成功。二、 证书导入:1、 导入客户端密钥(库):a) 对于IE浏览器,选择Internet选项,则显示如下:b) 点击证书按钮,显示如下:c) 点击导入,显示如下:d) 点击下一步,显示如下:注意:选择文件时,必须确认文件格式为:e) 点击下一步,并在密码处键入,创建客户端密钥(库)时所键入的密码,这里是123456:f) 选择下一步,显示如下:选择将所有的证书放入下列存储(P)为:个人,然后点击下一步,显示如下:g) 单击完成,显示如下:单击确定,自此客户端密钥(库)导入浏览器的操作完成。2、 导入服务器密钥(库)受信任的根证书:a) 对于IE浏
7、览器,选择Internet选项,则显示如下:b) 点击证书按钮,显示如下:c) 点击导入,显示如下:d) 点击下一步,显示如下:e) 选择要导入的文件,这里我们选择步骤5导出的server.cer证书,单击下一步显示如下:f) 选择奖所有的证书放入下列存储:收信人的根证书颁发机构,点击下一步,显示如下:g) 单击完成,显示如下:h) 由于我们是一个自签名证书,所以windows会给出上面的安全提示,选择“是”,显示如下:单击确定,自此服务器密钥(库)受信任的根证书导入浏览器的操作完成。三、 服务器配置SSL:说明,服务器配置SSL因应用服务器不同,其配置方法也不一样,这里仅以tomcat6为例
8、:1、 配置双向SSL:a) 将服务器密钥(库)文件放置在%TOMCATE_HOME%/onf下:b) 修改配置文件%TOMCATE_HOME%/onf/server.xml具体配置如下:参数说明:clientAuth如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书,置该值为true。keystoreFile如果创建的keystore文件不在Tomcat认为的缺省位置(一个在Tomcat运行的home目录下的叫.keystore的文件),则加上该属性。可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。keystorePass如果使用了一个
9、与Tomcat预期不同的keystore(和证书)密码(changeit),则加入该属性。keystoreType如果使用了一个PKCS12 keystore,加入该属性。有效值是JKS和PKCS12。sslProtocolsocket使用的加密/解密协议。如果使用的是Sun的JVM,则不建议改变这个值。据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。这种情况下,使用SSL。ciphers此socket允许使用的被逗号分隔的密码列表。缺省情况下,可以使用任何可用的密码。algorithm使用的X509算法。缺省为Sun的实现(SunX509)。对于IBM JVMS应该使用ibmX509。对于其它JVM,参考JVM文档取正确的值。truststoreFile用来验证客户证书的trustStore文件。truststorePass访问trustStore使用的密码。缺省值是keystorePass。truststoreType如果使用一个不同于正在使用的KeyStore的TrustStore格式,加入该属性。有效值是JKS和PKCS12。2、 配置单向S
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 承包公路工程施工协议范本2024年
- 股权转让协议范文
- 国防奖学金协议书模板
- 观赏鱼摆摊课程设计
- 签合同的授权委托书2024年
- 2024版标准离婚协议书范本
- 工程承包合同书范本协议样本
- 服装品牌联营协议书范本
- 2024年安徽省公务员考试《行测》真题及答案解析
- 混合结构课程设计cad
- DB21T 3354-2020 辽宁省绿色建筑设计标准
- 湖南文艺出版社五年级下册音乐教学计划
- 我的家乡安徽课件
- 原油电脱盐电脱水技术
- 小学生劳动教育评价细则
- 专业工程分包业主审批表
- XX公司员工跟投管理办法
- 道路运输安全事故报告、统计与调查处理制度
- 甘肃广播电视大学钢结构(本)不计分-3.3小测验答案
- 人员密集场所火灾疏散应急预案(精选14篇)
- 不合理处方登记表
评论
0/150
提交评论