我有一个运行自签名 SSL 证书的 Apache Tomcat 6.x 服务器。我希望客户端向服务器提供他们自己的证书,以便我可以根据用户数据库对它们进行身份验证。我根据我在网上找到的一个示例进行了所有工作,但是该示例附带了罐装证书和一个预构建的 JKS 数据存储。我想用自己的证书创建自己的数据存储,但没有运气。
如何为 Tomcat 创建数据存储?
如何为 Tomcat 创建自签名证书?
如何为客户端创建自签名证书?
如何强制 Tomcat 信任客户端的签名?
我已经用 java keytool 玩了好几个小时了。
终于找到了我的问题的解决方案,所以如果其他人卡住了,我会在这里发布结果。
感谢Michael's Software Thoughts & Ramblings 的Michael Martin,我发现:
keytool 在生成自签名证书时默认使用 DSA 算法。早期版本的 Firefox 可以毫无问题地接受这些密钥。对于 Firefox 3 beta 5,使用 DSA 不起作用,但使用 RSA 可以。在生成自签名证书时传递“-keyalg RSA”会创建一个 Firefox 3 beta 5 完全接受的证书。
我只是设置了那个标志,清除了 FireFox 中的所有缓存,它就像一个魅力!我将它用作我的项目的测试设置,我需要与其他人分享它,所以我编写了一个小批处理脚本来创建两个 SSL 证书。一个可以放入 Tomcat 设置中,另一个是可以导入 FireFox/IE 的 .p12 文件。谢谢!
用法:第一个命令行参数是客户端的用户名。所有密码都是“密码”(不带引号)。更改任何硬编码位以满足您的需要。
@echo off
if "%1" == "" goto usage
keytool -genkeypair -alias servercert -keyalg RSA -dname "CN=Web Server,OU=Unit,O=Organization,L=City,S=State,C=US" -keypass password -keystore server.jks -storepass password
keytool -genkeypair -alias %1 -keystore %1.p12 -storetype pkcs12 -keyalg RSA -dname "CN=%1,OU=Unit,O=Organization,L=City,S=State,C=US" -keypass password -storepass password
keytool -exportcert -alias %1 -file %1.cer -keystore %1.p12 -storetype pkcs12 -storepass password
keytool -importcert -keystore server.jks -alias %1 -file %1.cer -v -trustcacerts -noprompt -storepass password
keytool -list -v -keystore server.jks -storepass password
del %1.cer
goto end
:usage
echo Need user id as first argument: generate_keystore [username]
goto end
:end
pause
结果是两个文件。一个名为 server.jks 的文件放入 Tomcat 中,另一个名为 {username}.p12 的文件导入浏览器。server.jks 文件将客户端证书添加为可信证书。
我希望其他人觉得这很有用。
这是需要添加到 Tomcat conf/sever.xml 文件中的 XML(仅在 Tomcat 6.x 上测试过)
<Connector
clientAuth="true" port="8443" minSpareThreads="5" maxSpareThreads="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
keystoreFile="${catalina.home}/conf/server.jks"
keystoreType="JKS" keystorePass="password"
truststoreFile="${catalina.home}/conf/server.jks"
truststoreType="JKS" truststorePass="password"
SSLVerifyClient="require" SSLEngine="on" SSLVerifyDepth="2" sslProtocol="TLS"
/>
对于 Tomcat 7:
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
port="8443" SSLEnabled="true"
maxThreads="200" scheme="https" secure="true"
keystoreFile="${catalina.base}/conf/server.jks" keystorePass="password"
clientAuth="false" sslProtocol="TLS" />
要启用客户端身份验证,您需要为 Tomcat 指定“信任库”:包含来自您信任的根证书颁发机构的证书的密钥库,每个都标记为“trustEntry”。
这由Connector元素的属性指定:truststoreFile、truststorePass(默认为 的值keystorePass)和truststoreType(默认为“JKS”)。
如果客户端使用的是自签名证书,那么它的“根”CA 就是证书本身;因此,您需要将客户端的自签名证书导入 Tomcat 的信任库。
如果您有很多客户,这将很快成为一个麻烦。在这种情况下,您可能需要考虑为您的客户签署证书。Javakeytool命令无法做到这一点,但所有必需的命令行实用程序都可以在 OpenSSL 中使用。或者,您可以大规模研究EJBCA 之类的东西。
更好的是,请您的客户使用现有的免费 CA,例如startcom.org。这并不总是适用于服务器证书,因为并非所有浏览器都包含 StartCom 的证书,但是这种情况正好相反,并且 StartCom 根证书可以很容易地导入到 Tomcat 信任库中。
创建证书:
keytool -genkey -alias tomcat -keyalg RSA -keystore /home/bob/mykeystore
输入您需要的自签名证书的所有数据,然后编辑 Tomcat 的server.xml并在 SSL 连接器上指定密钥库属性,例如:
<Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
keystoreFile="/home/bob/mykeystore"
clientAuth="false" sslProtocol="TLS" />
或按照 Tomcat 文档...
以前的答案对我有用,但没有shell工具版本。所以我写了一个。
key_gen.sh:
#! /bin/bash
# a key generator for https,
basename=server
key_algorithm=RSA
password_key=123456
password_store=123456
country=US
# clean - pre
rm "${basename}.jks"
# generate server side
keytool -genkeypair -alias "${basename}cert" -keyalg $key_algorithm -dname "CN=Web Server,OU=Unit,O=Organization,L=City,S=State,C=${country}" -keypass $password_key -keystore "${basename}.jks" -storepass $password_store
对于tomcat8,可以将以下配置添加到server.xml:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
acceptCount="75" keystoreFile="${catalina.home}/conf/server.jks" keystorePass="123456"
/>