SSL双向认证证书制作过程经过流程.docx
《SSL双向认证证书制作过程经过流程.docx》由会员分享,可在线阅读,更多相关《SSL双向认证证书制作过程经过流程.docx(23页珍藏版)》请在冰点文库上搜索。
SSL双向认证证书制作过程经过流程
SSL双向认证证书制作流程
——含单向SSL
一、证书制作:
1、生成服务器密钥(库):
keytool-genkey-aliasserver-keyalgRSA-keysize2048-validity3650-dname"CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN"-keypass123456-keystoreserver.jks-storepass123456
CN:
要签名的[域名]或[IP](说明:
此处为要配置SSL服务器IP或域名)
OU:
组织单位名称,如:
[公司注册简称]
O:
组织名称,如:
[公司英文全称]
L:
城市或地区名称,如:
[Beijing]
ST:
州或省份名称,如:
[Beijing]
C:
单位的两字母国家代码,如:
[CN]
2、验证生成的服务器密钥(库):
keytool-list-v-keystoreserver.jks-storepass123456
3、为步骤1生成的服务器密钥(库)创建自签名的证书:
keytool-selfcert-aliasserver-keystoreserver.jks-storepass123456
4、验证生成的服务器密钥(库):
keytool-list-v-keystoreserver.jks-storepass123456
5、导出自签名证书:
keytool-export-aliasserver-keystoreserver.jks-fileserver.cer-storepass123456
说明:
此证书为后续要导入到浏览器中的受信任的根证书颁发机构。
6、生成客户端密钥(库):
说明:
keytool–genkey命令默认生成的是keystore文件,但为了能顺利导入到IE或其他浏览器中,文件格式应为PKCS12。
稍后,此P12文件将导入到IE或其他浏览器中。
keytool-genkey-aliasclient-keyalgRSA-keysize2048-validity3650-dname"CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN"-storetypePKCS12-keypass123456-keystoreclient.p12-storepass123456
CN:
要签名的[域名]或[IP](特别说明:
这里是客户端机构的域名或IP)
OU:
组织单位名称,如:
[公司注册简称]
O:
组织名称,如:
[公司英文全称]
L:
城市或地区名称,如:
[Beijing]
ST:
州或省份名称,如:
[Beijing]
C:
单位的两字母国家代码,如:
[CN]
7、提取客户端密钥的公钥:
只有客户端密钥库文件还不行,还需要一个证书文件。
毕竟证书文件才是直接提供给外界的公钥凭证,因此需要将客户端密钥库文件中的公钥导入到某个证书文件中。
keytool-export-aliasclient-keystoreclient.p12-storetypePKCS12-rfc-fileclient.cer-storepass123456
8、将客户端密钥库的公钥导入到服务端密钥库中:
keytool-import-v-fileclient.cer-keystoreserver.jks-storepass123456
9、验证生成的服务器密钥(库):
keytool-list-v-keystoreserver.jks-storepass123456
说明:
验证步骤8的公钥是否导出成功。
二、证书导入:
1、导入客户端密钥(库):
a)对于IE浏览器,选择Internet选项,则显示如下:
b)点击证书按钮,显示如下:
c)点击导入,显示如下:
d)点击下一步,显示如下:
注意:
选择文件时,必须确认文件格式为:
e)点击下一步,并在密码处键入,创建[客户端密钥(库)]时所键入的密码,这里是123456:
f)选择下一步,显示如下:
选择[将所有的证书放入下列存储(P)]为:
个人,然后点击下一步,显示如下:
g)单击完成,显示如下:
单击确定,自此[客户端密钥(库)]导入浏览器的操作完成。
2、导入服务器密钥(库)受信任的根证书:
a)对于IE浏览器,选择Internet选项,则显示如下:
b)点击证书按钮,显示如下:
c)点击导入,显示如下:
d)点击下一步,显示如下:
e)选择要导入的文件,这里我们选择步骤5导出的server.cer证书,单击下一步显示如下:
f)选择奖所有的证书放入下列存储:
收信人的根证书颁发机构,点击下一步,显示如下:
g)单击完成,显示如下:
h)由于我们是一个自签名证书,所以windows会给出上面的安全提示,选择“是”,显示如下:
单击确定,自此[服务器密钥(库)受信任的根证书]导入浏览器的操作完成。
三、服务器配置SSL:
说明,服务器配置SSL因应用服务器不同,其配置方法也不一样,这里仅以tomcat6为例:
1、配置双向SSL:
a)将服务器密钥(库)文件放置在[%TOMCATE_HOME%/onf]下:
b)修改配置文件[%TOMCATE_HOME%/onf/server.xml]具体配置如下:
maxThreads="150"scheme="https"secure="true"
clientAuth="true"sslProtocol="TLS"
keystoreFile="conf/server.jks"keystorePass="123456"
truststoreFile="conf/server.jks"truststorePass="123456"/>
参数说明:
clientAuth
如果想要Tomcat为了使用这个socket而要求所有SSL客户出示一个客户证书,置该值为true。
keystoreFile
如果创建的keystore文件不在Tomcat认为的缺省位置(一个在Tomcat运行的home目录下的叫.keystore的文件),则加上该属性。
可以指定一个绝对路径或依赖$CATALINA_BASE环境变量的相对路径。
keystorePass
如果使用了一个与Tomcat预期不同的keystore(和证书)密码(changeit),则加入该属性。
keystoreType
如果使用了一个PKCS12keystore,加入该属性。
有效值是JKS和PKCS12。
sslProtocol
socket使用的加密/解密协议。
如果使用的是Sun的JVM,则不建议改变这个值。
据说IBM的1.4.1版的TLS协议的实现和一些流行的浏览器不兼容。
这种情况下,使用SSL。
ciphers
此socket允许使用的被逗号分隔的密码列表。
缺省情况下,可以使用任何可用的密码。
algorithm
使用的X509算法。
缺省为Sun的实现(SunX509)。
对于IBMJVMS应该使用ibmX509。
对于其它JVM,参考JVM文档取正确的值。
truststoreFile
用来验证客户证书的trustStore文件。
truststorePass
访问trustStore使用的密码。
缺省值是keystorePass。
truststoreType
如果使用一个不同于正在使用的KeyStore的TrustStore格式,加入该属性。
有效值是JKS和PKCS12。
2、配置单向SSL:
a)修改配置文件[%TOMCATE_HOME%/onf/server.xml]具体配置如下:
maxThreads="150"SSLEnabled="true"scheme="https"secure="true"
clientAuth="false"sslProtocol="TLS"
keystoreFile="conf/server.jks"keystorePass="123456"keystoreType="JKS"/>
b)单向证书制作过程描述:
一、证书制作——步骤[1、2、3、4、5]
二、证书导入——步骤[2]
四、补充:
对于证书的安装,在实际使用中一般可以提供一个连接允许用户下载证书。
如下图红框所示:
升级会员 