免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

雙向認(rèn)證：客戶端向服務(wù)器發(fā)送消息，首先把消息用客戶端證書加密然后連同時把客戶端證書一起發(fā)送到服務(wù)器端，服務(wù)器接到消息后用首先用客戶端證書把消息解密，然后用服務(wù)器私鑰把消息加密，把服務(wù)器證書和消息一起發(fā)送到客戶端，客戶端用發(fā)來的服務(wù)器證書對消息進(jìn)行解密，然后用服務(wù)器的證書對消息加密，然后在用客戶端的證書對消息在進(jìn)行一次加密，連同加密消息和客戶端證書一起發(fā)送到服務(wù)器端，到服務(wù)器端首先用客戶端傳來的證書對消息進(jìn)行解密，確保消息是這個客戶發(fā)來的，然后用服務(wù)器端的私鑰對消息在進(jìn)行解密這個便得到了明文數(shù)據(jù)。

==========================

openssl在windows上的安裝

從此處下載openssl for windows

http://gnuwin32.sourceforge.net/packages/openssl.htm

解壓，并設(shè)置PATH環(huán)境變量指向其bin文件夾

下載openssl的配置文件http://www.securityfocus.com/data/tools/openssl.conf

并將其拷到一個文件夾下，以便用命令行指定，這里是c:/ssl/下

否則運(yùn)行時會報Unable to load config info from /usr/local/ssl/openssl.cnf錯誤

=============================

以下安裝配置環(huán)境為linux，tomcat-5.5.30

一、建立目錄

cd /home

mkdir ssl

cd ssl

mkdir ca

mkdir client

mkdir server

創(chuàng)建一個證書的步驟： 

（1）生成系統(tǒng)私鑰

（2）生成待簽名證書

（3）生成x509證書, 用CA私鑰進(jìn)行簽名

（4）導(dǎo)成瀏覽器支持的p12格式證書

二：生成CA證書
目前不使用第三方權(quán)威機(jī)構(gòu)的CA來認(rèn)證，自己充當(dāng)CA的角色。 
1. 創(chuàng)建私鑰 ：
openssl genrsa -out ca/ca-key.pem 1024 
2.創(chuàng)建證書請求 ：
openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem

-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:bj
Locality Name (eg, city) []:bj
Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb
Organizational Unit Name (eg, section) []:tb
Common Name (eg, YOUR name) []:ca
Email Address []:ca@ca.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3.自簽署證書 ：
openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650 
4.將證書導(dǎo)出成瀏覽器支持的.p12格式 ：

openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12 
密碼：123456

      
三.生成server證書
1.創(chuàng)建私鑰 ：
openssl genrsa -out server/server-key.pem 1024 
2.創(chuàng)建證書請求 ：
openssl req -new -out server/server-req.csr -key server/server-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:bj
Locality Name (eg, city) []:bj
Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb
Organizational Unit Name (eg, section) []:tb
Common Name (eg, YOUR name) []:localhost   #此處一定要寫服務(wù)器所在ip
Email Address []:server@server.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
3.自簽署證書 ：
openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650 
4.將證書導(dǎo)出成瀏覽器支持的.p12格式 ：
openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12 
密碼：123456

四.生成client證書 
1.創(chuàng)建私鑰 ：
openssl genrsa -out client/client-key.pem 1024 
2.創(chuàng)建證書請求 ：
openssl req -new -out client/client-req.csr -key client/client-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:bj
Locality Name (eg, city) []:bj
Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb
Organizational Unit Name (eg, section) []:tb
Common Name (eg, YOUR name) []:dong
Email Address []:dong@dong.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

3.自簽署證書 ：
openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650 
4.將證書導(dǎo)出成瀏覽器支持的.p12格式 ：
openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12 
密碼：123456

五.根據(jù)ca證書生成jks文件 (java keystore)
keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file ca/ca-cert.pem

六.配置tomcat ssl
修改conf/server.xml。tomcat6中多了SSLEnabled="true"屬性。keystorefile, truststorefile設(shè)置為你正確的相關(guān)路徑 
xml 代碼
 tomcat 5.5的配置：
<Connector port="8443" maxHttpHeaderSize="8192"
             maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
             enableLookups="false" disableUploadTimeout="true"
             acceptCount="100" scheme="https" secure="true"
             clientAuth="true" sslProtocol="TLS" 
             keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12" 
             truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS" />  
tomcat6.0的配置：
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS"
               keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12" 
               truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS"/>

七、測試（linux下）
openssl s_client -connect localhost:8443 -cert /home/ssl/client/client-cert.pem -key /home/ssl/client/client-key.pem -tls1 -CAfile /home/ssl/ca/ca-cert.pem -state -showcerts

GET /index.jsp HTTP/1.0

八、導(dǎo)入證書
服務(wù)端導(dǎo)入server.P12 和ca.p12證書
客戶端導(dǎo)入將ca.p12，client.p12證書
IE中（打開IE->;Internet選項->內(nèi)容->證書）

ca.p12導(dǎo)入至受信任的根證書頒發(fā)機(jī)構(gòu)，client.p12導(dǎo)入至個人

Firefox中（工具-選項-高級-加密-查看證書-您的證書）

將ca.p12和client.p12均導(dǎo)入這里
 

注意:ca,server,client的證書的common name(ca=ca,server=localhost,client=dong)一定不能重復(fù)，否則ssl不成功

九、tomcat應(yīng)用程序使用瀏覽器證書認(rèn)證

在server/webapps/manager/WEB-INF/web.xml中，將BASIC認(rèn)證改為證書認(rèn)證

<login-config>
    <auth-method>CLIENT-CERT</auth-method>
    <realm-name>Tomcat Manager Application</realm-name>
  </login-config>

在conf/tomcat-users.xml中填入下列內(nèi)容
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
  <role rolename="manager"/>
  <role rolename="admin"/>
  <role rolename="user"/>
  <user username="EMAILADDRESS=dong@dong.com, CN=dong, OU=tb, O=tb, L=bj, ST=bj, C=cn" password="null" roles="admin,user,manager"/>
</tomcat-users>

訪問http://localhost:8443即可驗證ssl是否成功

訪問http://localhost:8443/manager/html可驗證應(yīng)用程序利用client證書驗證是否成功