在单点登录认证系统中,证书是非常重要的一把钥匙,客户端与服务器之间的交互安全靠的就是证书。本文章介绍的是利用JAVA JDK中自带的keytool证书生成工具来生成证书。
如果以后真正在产品环境中使用肯定要去证书提供商去购买,证书认证一般都是由VeriSign认证,
中文官方网站:http://www.verisign.com/cn/
------------------------------------------------------------------------------------------------------------------
具体的证书操作步骤大致分为三步:生成证书、导出证书、为客户端的JVM导入证书
前提:计算机上要有JDK,并且在C盘新建文件夹keys
1)生成证书
命令:keytool -genkey -alias javacrazyer -keyalg RSA -keystore c:/keys/javacrazyerkey
命令解释:javacrazyer表示我给证书起的别名,以方便后面导出导入证书使用,真正生成的证书文件名是javacrazyerkey
要给力,先上图
上面图片中的重点就是“您的名字和姓氏是什么?”这一项,我这里写的是javacrazyer.sso.com,实际上这个域名是我为了方便操作而写的,真实情况是不存在这个域名。我是在C:\Windows\System32\drivers\etc\hosts,添加内容: 127.0.0.1 sso.wsria.com
这样在访问sso.wsria.com的时候其实是访问的127.0.0.1也就是本机
注意:这一步中输入的域名不要是IP地址
2)导出证书
命令:keytool -export -file c:/keys/javacrazyer.crt -alias javacrazyer -keystore c:/keys/javacrazyerkey
命令解释:这里表示将第一步生成的证书文件导出成真正的证书以便以后为JVM导入证书使用
给力上图
这里输入的密码是第一步创建证书时设定的密码
这时我们看看c:/keys下的文件,又多了个crt文件,也就是真正导出的证书
3)为客户端JVM导入证书【这一点非常重要】
命令:keytool -import -keystore "C:\Program Files\Java\jdk1.6.0_20\jre\lib\security\cacerts" -file "c:/keys/javacrazyer.crt" -alias javacrazyer
命令解释:将第二步生成的真正的证书文件导入到JDK中的证书认证文件里,要记住之所以我说是客户端JVM,关键是将来如果你在MyEclipse中用到tomcat,而tomcat的JDK正好是这个"C:\Program Files\Java\jdk1.6.0_20",那么这样的话你访问一个部署在TOMCAT上的WEB程序就是访问客户端,所以为了防止将来不出差错,一个是关键选好这个JDK导入证书,另一个就是MyEclipse中tomcat的JDK要选择同一个JDK
这里输入的密码不是第一步中设定的密码,而是默认密码:changeit
再一次强调:之所以反复说本步骤重要是由于将来在访问SSO程序的WEB客户端时可能会出现这样一个错误
请求https错误: unable to find valid certification path to requested target
为了避免这个错误所以本步骤一定确保正确完成,确保完成的标准是在第4步
4)应用证书到Web服务器-Tomcat
这一步实际上就是说要开启tomcat的SSL((Secure Sockets Layer 安全套接),也即是开启https加密协议,为什么加密?安全呗,不然中国工商银行网站进行网上银行账户操作时用https干嘛
所以设计安全性能要求非常高的网站系统必须使用https加密协议
言归正传,准备好一个干净的tomcat,本教程使用的apache-tomcat-6.0.29
打开tomcat目录的conf/server.xml文件,开启83和87行的注释代码,并设置keystoreFile、keystorePass修改结果如下:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="c:/keys/javacrazyerkey" keystorePass="cheney" />