简介:

  数字证书作为网络安全数据传输的凭证,web在传输时客户端(浏览器)和 服务端(服务器)先进行会话握手,在握手过程中服务端会验证客户端的是否已经在服务端做了认证,这是单向认证。如果是双向认证的话,客户端云会校验请求的服务器是否是已认证的安全。当所有的验证通过后,客户端和服务端才会建立安全的连接。这个时候才能保证数据的传输是安全的。

设计方案:

  1. 服务器维护一个秘钥库server.jks 并重秘钥库中导出证书 server.cer。
  2. 客户端证书,由管理员创建 client.p12 和导出证书 client.cer,可以创建多个客户端证书。
  3. 导出的证书client.cer需要导入到server.jks秘钥库中认证。
  4. 人后下发给客户端的安装文件包含 client.p12 和 server.cer。

技术实现:

环境:JDK 1.8.0,IE浏览器 v.11.0,谷歌浏览器v.74.0

工具:keytool

示例

  1. 1、创建服务器秘钥库

keytool
-genkey //创建指令
-v //详细输出
-alias server_key //唯一别名
-keyalg RSA //加密类型
-keysize 4096 //秘钥格式大小
-sigalg SHA256withRSA //签名算法名称
-keystore server.jks //秘钥名称
-validity 36500 //有效期
-dname "CN=*.runcui.net,OU=runcui Inc,O=IT,L=ShenZhen,ST=GuangDong,C=CN" //参数设置,CN=“服务器域名”
-ext "SAN=DNS:localhost,IP:172.20.10.4" //X.509 扩展,设置主题备注名
-ext "BC=ca:true" //
-storepass server1234 //秘钥库密码
-keypass server1234 //秘钥密码

  1. 2、导出服务证书

keytool
-exportcert
-v
-rfc
-alias server_key
-keystore server.jks
-file server.cer
-storepass server1234
-keypass server1234

  1. 3、创建客户端秘钥(文件类型 .P12)

keytool
-genkey
-v
-alias client
-keyalg RSA
-keysize 4096
-sigalg SHA256
-storetype PKCS12
-keystore client.p12
-validity 30
-dname "CN=*.runcui.net,OU=runcui Inc,O=client,L=ShenZhen,ST=GuangDong,C=CN"
-storepass client1234
-keypass client1234

  1. 4、导出客户端证书

keytool
-exportcert
-v
-rfc
-alias client
-keystore client.p12
-file client.cer
-storepass client1234
-keypass client1234

  1. 5、服务器的秘钥库中导入客户端的证书,作为客户端访问服务器的可信校验凭证。

keytool
-import
-v
-alias clientkey
-file client.cer
-keystore server.jks
-storepass server1234
-keypass server1234

  1. 6 、查看秘钥库的中的证书

keytool -v -list  -keystore server.jks -storepass server1234 -keypass server1234

  1. 7 、删除秘钥库中的客户端证书

keytool --delete -alias clientkey -keystore server.jsk

  1. 8、tomcat 配置server.xml

<Connector port="8080" protocol="HTTP/1.1"

SSLEnabled="true" maxThreads="150" scheme="https"

secure="true" clientAuth="true" sslProtocol="TLS"

keystoreFile="D:\\keytool\\example01\\server.jks" keystorePass="server1234" truststoreFile="D:\\keytool\\example01\\server.jks"

truststorePass="server1234"/>

  属性:

clientAuth : 设置双向认证 true、默认为单向认证 false

sslProtocol:

keystoreFile:秘钥库路径

keystorePass:秘钥库口令

truststoreFile:秘钥库根目录

truststorePass:口令

示例代码:

  1. 9、生成的文件

  1. 10、客户端安装证书

#、客户端需要安装的两个文件。

#、运行“certmgr.msc”命令,进入证书控制台,分别这两个目录下安装证书

# 、“个人”->“证书”右键导入,进入向导

#、选择 .p12文件,下一步

#、输入密码按下一步,密码是生成p12文件时配置密码 “-storepass xxxxxx"

#、然后以下的步骤就一直点到完成,导入后控制台会有安装的文件

  1. 11、安装服务端证书

#、安装

#、选择服务器证书

#、直接点击下一步

#、会出现警告信息,点击“是”即可

#、已包含安装的服务器证书。

  1. 12、访问服务器,需要使用https 访问,显示域名安全锁

问题与解决方案:

问题1:每次在秘钥库中导入客户端的证书后,都要重启tomcat服务才能加载到新添加的证书。如何能将tomcat每次都能自动加载秘钥库,保证每次导入的新证书被加载到。

问题2:nginx+tomcat 配置证书双向认证

解决方案:博友们对问题1有更好的建议或方案,欢迎留言共同探讨。

JAVA JDK keytool 生成数字证书的更多相关文章

  1. JDK 生成数字证书

    JDK(keytool.exe)生成数字证书 2010-11-21 15:52 QUOTE: keytool JAVA是个密钥和证书管理工具.它使用户能够管理自己的公钥/私钥对及相关证书,用于(通过数 ...

  2. 利用keytool工具生成数字证书

    一.制作数字证书  因测试微信小程序, 腾讯要求使用 https协议,所以需要使用证书.使用jdk工具制作数字证书流程如下: 1.查看JDK是否安装,使用命令java -version 2.切换目录至 ...

  3. 使用jdk的keytool 生成CA证书的方法

    一.CA证书生成设置总共分为以下5步: 步骤: 1.根据java的keytool生成CA根证书,放在服务器 2.根据服务器CA根证书导出客户端证书 3.tomcat增加SSL配置 4.客户端IE浏览器 ...

  4. JAVA调用 keytool 生成keystore 和 cer 证书

    keytool是一个Java数据证书的管理工具, keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里, 包含两种数据: 密钥实体( ...

  5. 利用JDK自带工具keyTool生成安全证书

    前言:说一下最近做的工作,主要利用iText给网页中生成好的html报表转化为pdf格式的文件,并且在其中加入水印,数字签名等等,这部分主要介绍安全证书的目的就是为了做数字签名部分用的. 下面利用jd ...

  6. java 调用 keytool 生成keystore 和 cer 证书

    keytool是一个Java数据证书的管理工具, keytool将密钥(key)和证书(certificates)存在一个称为keystore的文件中在keystore里, 包含两种数据:密钥实体(K ...

  7. Java加密解密与数字证书的操作

    1 keytool命令总结 一.创建数字证书 交互模式 使用默认的密钥库.keystore(文件夹是c: Documents and Settingusername)和算法(DSA) keytool  ...

  8. 使用keytool生成ssl证书

    使用keytool生成ssl证书 在项目中由于要使用https访问项目,然后了解到jdk有一个自带的工具keytool可以用来生成ssl证书,从而可以通过https进行访问. 使用keytool生成s ...

  9. jdk keytool 自签证书

    jdk keytool 自签证书 https需要用到ssl证书,可以从阿里等平台申请,本文采用jdk keytool进行自签证书. 生成环境:linux 用jdk自带keytool工具生成密钥库 ke ...

随机推荐

  1. Nginx-入门(源码编译安装http://nginx.org/en/download.html)

    比较早的时候  web主要经典组合--->LAMP 近几年---->nginx后来居上--->LNMP=LEMP   Nginx = Engine x Nginx和Apache 都是 ...

  2. Vue中的计算属性

    一.什么是计算属性 模板内的表达式非常便利,但是设计它们的初衷是用于简单运算的.在模板中放入太多的逻辑会让模板过重且难以维护. 二.计算属性的用法 在一个计算属性里可以完成各种复杂的逻辑,包括运算.函 ...

  3. linux系统中的硬链接和软链接

    首先我们需要了解linux下硬链接以及软连接的基本概念.硬链接:新建的文件是已经存在的文件的一个别名,当原文件删除时,新建的文件仍然可以使用.软链接:也称为符号链接,新建的文件以“路径”的形式来表示另 ...

  4. EOJ Monthly 2019.2 E 中位数 (二分+中位数+dag上dp)

    题意: 一张由 n 个点,m 条边构成的有向无环图.每个点有点权 Ai.QQ 小方想知道所有起点为 1 ,终点为 n 的路径中最大的中位数是多少. 一条路径的中位数指的是:一条路径有 n 个点,将这  ...

  5. (三)Mybatis类型转换器,接口传参类型,一对一,一对多查询resultMap配置

    Mybatis类型转换器 首先明白什么时候用到它,当数据库的字段类型和java字段类型无法默认匹配时候进行转换,比如现在数据库类型是INTEGER,而java当中类型是Boolean,true表示1, ...

  6. Kafka系列2:深入理解Kafka消费者

    Kafka系列2:深入理解Kafka消费者 上篇聊了Kafka概况,包含了Kafka的基本概念.设计原理,以及设计核心.本篇单独聊聊Kafka的消费者,包括如下内容: 生产者是如何生产消息 如何创建生 ...

  7. Docker可视化管理工具Portainer

    Portainer介绍 Portainer是Docker的图形化管理工具,提供状态显示面板.应用模板快速部署.容器镜像网络数据卷的基本操作(包括上传下载镜像,创建容器等操作).事件日志显示.容器控制台 ...

  8. centos7 nginx 启动脚本

    [root@localhost ~]# vim /lib/systemd/system/nginx.service [Unit] Description=nginx After=network.tar ...

  9. vsphere 客户机 使用光驱引导启动

    vsphere上的虚拟服务器 需要用光盘引导启动,用pe系统做维护.   第一部:光盘ios文件 存放的位置 可以直接放光盘 或者将ios文件放到数据存储中 或者将ios文件放到实体主机的存储内   ...

  10. H5页面长按复制功能实现

    手机赚钱怎么赚,给大家推荐一个手机赚钱APP汇总平台:手指乐(http://www.szhile.com/),辛苦搬砖之余用闲余时间动动手指,就可以日赚数百元 默认情况下禁止了长按复制功能,要此功能需 ...