本文将介绍如何利用Tomcat的HTTPS功能,和一个自己创建的CA,来构建WEB服务器证书和个人数字证书,最终建成一个HTTPS双向认证环境(可以用于测试目的)。本文构建HTTPS双向认证的业务流程大致如下: 1. 创建WEB服务器公钥密钥,并生成服务器证书请求。 2. 利用自建的CA,根据服务器证书请求为服务器签发服务器证书。然后把服务器证书导回WEB服务器中。 3. 利用openssl生成客户端(IE)使用的个人数字证书,也由同样的CA签发个人证书。 4. 将个人数字证书(PKCS12格式,包含密钥)导入到浏览器(IE/Firefox)后,就可以进行HTTPS测试了。 一. 选择HTTPS WEB服务器 这里我们选择了Tomcat。当然还有其它方法,如Apache+Tomcat,让Apache配置成HTTPS模式,而Tomcat只做HTTP业务处理,这样有利于提高性能,但本文只建造一个简单的HTTPS测试环境,只用Tomcat自带的HTTPS功能。(当然,我以后会考虑研究一下Apache+Tomcat模式,到时再和大家一起分享经验) 二. 创建一个自己的CA 创建一个自己的CA来模拟HTTPS构建环境(利用CA签发证书),不仅有利于了解PKI概念,而且有利于了解真正应用的业务流程。关于如何创建一个简单的测试用CA我已在本博客发文,题目为《利用openssl创建一个简单的CA》,请参考http://blog.csdn.net/jasonhwang/archive/2008/04/26/2329589.aspx 这里就不再重述了。 另外,如果你真的觉得建一个CA比较麻烦,且只使用几个个人数字证书的话,当然也可以不建CA,下面章节也会提到不用CA如何构建双向认证。 三. 创建服务器公钥密钥及颁发服务器证书 实际上有两种方法生成服务器证书,一种是用JDK带的keytool,另一种是用openssl命令生成pkcs12格式的证书。个人更喜欢第二种,因为用openssl生成的pkcs12格式服务器证书可以导出明文的服务器密钥,便于用wireshark(ethereal的新名字)查看HTTPS里被加密过的HTTP消息。keytool生成的keystore也有办法导出密钥,但还要编程去弄,太麻烦了。 方法一,用keytool创建服务器公钥密钥并用CA签发服务器证书: keytool是JDK自带的工具程序,确保keytool已在PATH路径里(或在以下命令里指明keytool的全路径,如$JAVA_HOME/bin/keytool)。 1. 用keytool生成服务器公钥密钥: 在TOMCAT的conf目录里执行以下命令(假设conf目录路径为$TOMCAT_HOME/conf/): keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -genkey -keyalg RSA -dname "CN=servername, OU=servers, O=ABCom" 注:其中DN(证书的唯一取别名)里的CN最好是服务器的域名地址或IP地址(因为浏览器在发现服务器证书的CN与访问服务器的域名或IP不符时,会报一个警告,不过这个问题不大)。 2. 生成服务器证书请求,并让测试CA签发服务器证书 实际上本步骤也可以省略,唯一不好的结果是用户在开始访问服务器HTTPS服务时,会跳一个窗口警告用户,用户可以在该窗口里看到服务器证书是一个自签名的证书(用服务器私钥自己给自己签发的证书,keytool生成公钥密钥时自动生成这种证书)。但只要用户选择“信任该证书”,也照样可以与服务器建立HTTPS连接。 但正规的HTTPS服务器,还是应该申请一个服务器证书比较好。 2.1 生成服务器证书请求: keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -certreq -file serverreq.pem 以下命令可以查看一下证书请求的内容: openssl req -in serverreq.pem -text -noout 2.2 用测试CA签署服务器证书: 把serverreq.pem拷贝到CA的某目录下,我们就可以按照《利用openssl创建一个简单的CA》里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了: openssl ca -in serverreq.pem -out servercert.pem -config "$HOME/testca/conf/testca.conf" 执行过程中需要输入CA私钥的保护密码。 2.3 把服务器证书导回到服务器的keystore里: 前面命令里生成的servercert.pem即为服务器证书。从CA处把该文件及CA的证书($HOME/testca/cacert.pem)拿来,一起放到Tomcat的conf目录里。 另外导入前,还有一个工作需要做,需要手工编辑servercert.pem证书文件,把‘-----BEGIN CERTIFICATE-----’该行前的所有内容都删掉,因为keytool不认得这些说明性的内容。 导入前也可以执行命令查看一下证书内容: keytool -printcert -file servercert.pem 导入服务器证书: 先导入CA的证书: keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem 再导入服务器证书: keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -import -file servercert.pem 导入后可以用以下命令查看一下keystore里的内容: keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -list -v 3. 创建服务器信任的客户端CA证书库: 用keytool创建一个证书库,里面存放服务器信任的CA证书,也就是只有这些CA签发的客户端个人证书才被服务器信任,才能通过HTTPS访问服务器。这就是“HTTPS服务器验证客户端证书”的关键配置。注:如果只是测试目的,为了简单期间,也可以直接把客户端未经CA签发的自签名证书直接导入信任证书库里。 这里,我们假设客户端个人证书(后续章节介绍如何生成客户端个人证书)也是由测试CA签发的,所以我们要把cacert.pem证书导入信任证书库: keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem 可以用以下命令查看信任证书库内容: keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v 4. 配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书): 修改tomcat的conf目录里的server.xml文件($TOMCAT_HOME/conf/server.xml),找到类似下面内容的配置处,添加配置如下: <Connector port="8443" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="conf/tomcat.jks" keystorePass="222222" keystoreType="JKS" truststoreFile="conf/truststore.jks" truststorePass="222222" truststoreType="JKS" /> (题外话:其实HTTPS单向和双向认证配置的唯一区别是,把clientAuth改为false,去掉truststore的相关配置,就是单向HTTPS认证了,单向HTTPS用的可能更多,它主要在浏览器与f服务器交互的HTTP需要加密,而不需要验证客户端证书时使用。) 经以上配置后,重启tomcat,服务器就支持HTTPS双向认证了。 方法二,用openssl创建服务器公钥密钥并用CA签发服务器证书: 前面已经提到过,这种方式的好处是有利于抓包查看服务器与浏览器HTTPS交互里的HTTP信息。 其实,这种方法与《利用openssl创建一个简单的CA》里提到的制作个人数字证书方法很类似(请参考《利用openssl创建一个简单的CA》的“三. 自己生成公钥密钥,并用测试CA签发数字证书”章节)。 1. 制作服务器证书(最终形成一个pkcs12文件,包含服务器密钥、证书和CA的证书) 假设我们把服务器相关的东西生成到CA的$HOME/testca/test/server目录里: mkdir -p "$HOME/testca/test/server" cd "$HOME/testca/test/server" 2.1 创建服务器公钥密钥,并同时生成一个服务器证书请求: openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem / -outform PEM -subj "/O=ABCom/OU=servers/CN=servername" 执行命令过程中输入密钥保护密码222222。 执行后可以用以下命令查看请求内容: openssl req -in serverreq.pem -text -noout 2.2 用测试CA签署服务器证书: 把serverreq.pem拷贝到CA的某目录下,我们就可以按照《利用openssl创建一个简单的CA》里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了: openssl ca -in serverreq.pem -out servercert.pem -config "$HOME/testca/conf/testca.conf" 执行过程中需要输入CA私钥的保护密码。 执行完后可以用以下命令查看证书内容: openssl x509 -in servercert.pem -text -noout 2.3 制作服务器pkcs12文件(包含服务器密钥、证书和CA的证书) openssl pkcs12 -export -in servercert.pem -inkey serverkey.pem / -out tomcat.p12 -name tomcat -CAfile "$HOME/testca/cacert.pem" / -caname root -chain 执行过程中要输入服务器密钥的保护密码(serverkey.pem)和新生成的tomcat.p12的保护密码,我们都输入222222。 创建完成后,把pkcs12文件拷贝到tomcat的conf目录下。 3. 创建服务器信任的客户端CA证书库: 同方法一的对应章节,这里,我们假设客户端个人证书(后续章节介绍如何生成客户端个人证书)也是由测试CA签发的,所以我们要把cacert.pem证书导入信任证书库: keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem 可以用以下命令查看信任证书库内容: keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v 4. 配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书): 修改tomcat的conf目录里的server.xml文件($TOMCAT_HOME/conf/server.xml),找到类似下面内容的配置处,添加配置如下: <Connector port="8443" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="conf/tomcat.p12" keystorePass="222222" keystoreType="PKCS12" truststoreFile="conf/truststore.jks" truststorePass="222222" truststoreType="JKS" /> 注意:其中keystore的keystoreType与方法一的配置不同。经以上配置后,重启tomcat,服务器就支持HTTPS双向认证了。
四. 创建用于客户端(浏览器)测试的个人数字证书(pkcs12格式) 完全按照《利用openssl创建一个简单的CA》里提到的制作个人数字证书方法来进行,请参考《利用openssl创建一个简单的CA》的“三. 自己生成公钥密钥,并用测试CA签发数字证书”章节。 1. 创建个人密钥和证书请求(证书请求里包含了公钥) 创建$HOME/testuser1目录并执行命令:(证书等都放到这个目录) mkdir $HOME/testuser1 cd $HOME/testuser1 openssl req -newkey rsa:1024 -keyout testkey.pem -keyform PEM -out testreq.pem -outform PEM -subj "/O=TestCom/OU=TestOU/CN=testuser1" 执行过程中需要输入私钥的保护密码,假设我们输入密码: 222222 执行完后,testkey.pem即为用户的密钥,而testreq.pem即为证书请求。 可以用openssl req -in testreq.pem -text -noout查看证书请求的内容。 2. 用CA为testuser1签发个人证书 同样还在$HOME/testuser1目录下执行命令: openssl ca -in testreq.pem -out testcert.pem -config "$HOME/testca/conf/testca.conf" 执行过程中需要输入CA的密钥保护密码(刚才设置的888888),并且最后询问你是否要给该用户签发证书时要选y。 执行完后,testcert.pem即为证书, 可以用命令openssl x509 -in testcert.pem -text -noout查看证书内容。 3. 制作PKCS12文件(个人数字证书) 我们制作的这个PKCS#12文件将包含密钥、证书和颁发该证书的CA证书。 把前几步生成的密钥和证书制作成一个pkcs12文件的方法执行命令: openssl pkcs12 -export -in testcert.pem -inkey testkey.pem -out testuser1.p12 -name testuser1 -chain -CAfile "$HOME/testca/cacert.pem" 执行过程中需要输入保护密钥的密码(222222),以及新的保护pkcs12文件的密码(222222)。 执行完后,若要查看testuser1.p12的内容可以用命令openssl pkcs12 -in testuser1.p12 该testuser1.p12即为pkcs12文件。你可以直接拷贝到windows下,作为个人数字证书,双击导入IE后就可以使用了。 五. 用一个简单webapp来测试HTTPS 服务器证书和个人证书都准备好了,我们可以写一个简单的webapp,里面只有一个jsp,用于查看https客户端验证是否起效了。 1. 创建webapp用于测试https: 在$TOMCAT_HOME/webapps/里创建一个目录testhttps,并在testhttps目录里创建WEB-INF目录,并在该目录里创建web.xml文件如下: 文件:$TOMCAT_HOME/webapps/WEB-INF/web.xml <?xml version="1.0" encoding="ISO-8859-1"?> <web-app xmlns="http://java./xml/ns/j2ee" xmlns:xsi="http://www./2001/XMLSchema-instance" xsi:schemaLocation="http://java./xml/ns/j2ee http://java./xml/ns/j2ee/web-app_2_4.xsd" version="2.4"> <display-name>Test HTTPS App</display-name> </web-app> 2. 创建一个显示客户端证书信息的JSP: 在testhttps目录创建文件seecert.jsp 文件:$TOMCAT_HOME/webapps/WEB-INF/seecert.jsp <%@ page import="java.security.cert.X509Certificate" contentType="text/html; charset=GB2312" %> <pre> <% java.security.cert.X509Certificate[] certs=null; try{ certs=(X509Certificate[])request.getAttribute("javax.servlet.request.X509Certificate");
if (certs == null) { out.println("No certificates"); } else if (certs.length == 0) { out.println("Certificates length is 0"); } else { java.security.cert.X509Certificate cert = certs[0]; String dn = cert.getSubjectX500Principal().toString(); out.println("SubjectDN: " + dn); out.println(); out.println("------------------certification detail--------------------"); out.println(cert); out.println("----------------------------------------------------------"); } } catch(Exception e){ out.println("Exception=" + e.getMessage()); } %> </pre> 3. 测试HTTPS并查看客户端证书信息: 访问URL:https://<tomcat>:8443/testhttps/seecert.jsp 在用浏览器访问该URL时,浏览器可能会跳出窗口让你选择用哪个客户端个人证书。 页面打开后,你将看到客户端证书的信息。 六. 使用wireshark(ethereal的新名称)查看HTTPS里加密的HTTP消息: 用wireshark抓包后,你可以看到HTTPS服务器与浏览器之间的HTTPS协商过程,但是HTTPS成功建立后,后续消息是加密的,如何查看加密的HTTP消息呢?你需要借助服务器的密钥(私钥)明文。 假设需要从上面提到的openssl生成的服务器证书tomcat.p12文件里导出密钥明文,生成密钥明文文件方法: openssl pkcs12 -in tomcat.p12 -out clearserverkey.pem -nodes 然后在wireshark的协议定义里找到SSL,并在“RSA keys list”里配置如下内容: <server_ip>,8443,http,<path_to_clearserverkey.pem> 其中: <server_ip>——为HTTPS服务器的IP; 8443——为HTTPS(SSL)的端口; http——表示SSL里加密的是HTTP协议; <path_to_clearserverkey.pem>——指上一步生成的clearserverkey.pem文件的本地路径。 这样,你就能看到wireshark里的SSL协议被解密,且里面的HTTP消息也看到了。
七. 客户端证书在Tomcat里的CRL检查
请参考《Tomcat里配置CRL》(http://blog.csdn.net/jasonhwang/archive/2008/05/08/2413310.aspx)。
|