如何用Tomcat和Openssl构建HTTPS双向认证环境(HTTPS客户端认证)

本文将介绍如何利用Tomcat的HTTPS功能,和一个自己创建的CA,来构建WEB服务器证书和个人数字证书,最终建成一个HTTPS双向认证环境(可以用于测试目的)。本文构建HTTPS双向认证的业务流程大致如下:
  1. 创建WEB服务器公钥密钥,并生成服务器证书请求。
  2. 利用自建的CA,根据服务器证书请求为服务器签发服务器证书。然后把服务器证书导回WEB服务器中。
  3. 利用openssl生成客户端(IE)使用的个人数字证书,也由同样的CA签发个人证书。
  4. 将个人数字证书(PKCS12格式,包含密钥)导入到浏览器(IE/Firefox)后,就可以进行HTTPS测试了。
  
一. 选择HTTPS WEB服务器
这里我们选择了Tomcat。当然还有其它方法,如Apache+Tomcat,让Apache配置成HTTPS模式,而Tomcat只做HTTP业务处理,这样有利于提高性能,但本文只建造一个简单的HTTPS测试环境,只用Tomcat自带的HTTPS功能。(当然,我以后会考虑研究一下Apache+Tomcat模式,到时再和大家一起分享经验)
  
二. 创建一个自己的CA
创建一个自己的CA来模拟HTTPS构建环境(利用CA签发证书),不仅有利于了解PKI概念,而且有利于了解真正应用的业务流程。关于如何创建一个简单的测试用CA我已在本博客发文,题目为《利用openssl创建一个简单的CA》,请参考http://blog.csdn.net/jasonhwang/archive/2008/04/26/2329589.aspx 这里就不再重述了。
 
另外,如果你真的觉得建一个CA比较麻烦,且只使用几个个人数字证书的话,当然也可以不建CA,下面章节也会提到不用CA如何构建双向认证。
  
三. 创建服务器公钥密钥及颁发服务器证书
实际上有两种方法生成服务器证书,一种是用JDK带的keytool,另一种是用openssl命令生成pkcs12格式的证书。个人更喜欢第二种,因为用openssl生成的pkcs12格式服务器证书可以导出明文的服务器密钥,便于用wireshark(ethereal的新名字)查看HTTPS里被加密过的HTTP消息。keytool生成的keystore也有办法导出密钥,但还要编程去弄,太麻烦了。
 
方法一,用keytool创建服务器公钥密钥并用CA签发服务器证书:
keytool是JDK自带的工具程序,确保keytool已在PATH路径里(或在以下命令里指明keytool的全路径,如$JAVA_HOME/bin/keytool)。
 
1. 用keytool生成服务器公钥密钥:
在TOMCAT的conf目录里执行以下命令(假设conf目录路径为$TOMCAT_HOME/conf/):
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -genkey -keyalg RSA -dname "CN=servername, OU=servers, O=ABCom"
 
注:其中DN(证书的唯一取别名)里的CN最好是服务器的域名地址或IP地址(因为浏览器在发现服务器证书的CN与访问服务器的域名或IP不符时,会报一个警告,不过这个问题不大)。
 
2. 生成服务器证书请求,并让测试CA签发服务器证书
实际上本步骤也可以省略,唯一不好的结果是用户在开始访问服务器HTTPS服务时,会跳一个窗口警告用户,用户可以在该窗口里看到服务器证书是一个自签名的证书(用服务器私钥自己给自己签发的证书,keytool生成公钥密钥时自动生成这种证书)。但只要用户选择“信任该证书”,也照样可以与服务器建立HTTPS连接。
但正规的HTTPS服务器,还是应该申请一个服务器证书比较好。
 
2.1 生成服务器证书请求:
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -certreq -file serverreq.pem
 
以下命令可以查看一下证书请求的内容:
openssl req -in serverreq.pem -text -noout
 
2.2 用测试CA签署服务器证书:
把serverreq.pem拷贝到CA的某目录下,我们就可以按照《利用openssl创建一个简单的CA》里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了:
openssl ca -in serverreq.pem -out servercert.pem -config "$HOME/testca/conf/testca.conf"
执行过程中需要输入CA私钥的保护密码。
 
2.3 把服务器证书导回到服务器的keystore里:
前面命令里生成的servercert.pem即为服务器证书。从CA处把该文件及CA的证书($HOME/testca/cacert.pem)拿来,一起放到Tomcat的conf目录里。
另外导入前,还有一个工作需要做,需要手工编辑servercert.pem证书文件,把‘-----BEGIN CERTIFICATE-----’该行前的所有内容都删掉,因为keytool不认得这些说明性的内容。
导入前也可以执行命令查看一下证书内容:
keytool -printcert -file servercert.pem
 
导入服务器证书:
先导入CA的证书:
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem
 
再导入服务器证书:
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -import -file servercert.pem
 
导入后可以用以下命令查看一下keystore里的内容:
keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -list -v
 
3. 创建服务器信任的客户端CA证书库:
用keytool创建一个证书库,里面存放服务器信任的CA证书,也就是只有这些CA签发的客户端个人证书才被服务器信任,才能通过HTTPS访问服务器。这就是“HTTPS服务器验证客户端证书”的关键配置。注:如果只是测试目的,为了简单期间,也可以直接把客户端未经CA签发的自签名证书直接导入信任证书库里。
 
这里,我们假设客户端个人证书(后续章节介绍如何生成客户端个人证书)也是由测试CA签发的,所以我们要把cacert.pem证书导入信任证书库:
keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem
 
可以用以下命令查看信任证书库内容:
keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v
 
4. 配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书):
修改tomcat的conf目录里的server.xml文件($TOMCAT_HOME/conf/server.xml),找到类似下面内容的配置处,添加配置如下:
    <Connector port="8443"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" debug="0" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS"
               keystoreFile="conf/tomcat.jks" keystorePass="222222" keystoreType="JKS" 
      truststoreFile="conf/truststore.jks" truststorePass="222222" truststoreType="JKS" />
 
(题外话:其实HTTPS单向和双向认证配置的唯一区别是,把clientAuth改为false,去掉truststore的相关配置,就是单向HTTPS认证了,单向HTTPS用的可能更多,它主要在浏览器与f服务器交互的HTTP需要加密,而不需要验证客户端证书时使用。)
 
经以上配置后,重启tomcat,服务器就支持HTTPS双向认证了。
 
 
方法二,用openssl创建服务器公钥密钥并用CA签发服务器证书:
前面已经提到过,这种方式的好处是有利于抓包查看服务器与浏览器HTTPS交互里的HTTP信息。
其实,这种方法与《利用openssl创建一个简单的CA》里提到的制作个人数字证书方法很类似(请参考《利用openssl创建一个简单的CA》的“三. 自己生成公钥密钥,并用测试CA签发数字证书”章节)。
 
1. 制作服务器证书(最终形成一个pkcs12文件,包含服务器密钥、证书和CA的证书)
假设我们把服务器相关的东西生成到CA的$HOME/testca/test/server目录里:
mkdir -p "$HOME/testca/test/server"
cd "$HOME/testca/test/server"
 
2.1 创建服务器公钥密钥,并同时生成一个服务器证书请求:
openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem /
              -outform PEM  -subj "/O=ABCom/OU=servers/CN=servername"
执行命令过程中输入密钥保护密码222222。
 
执行后可以用以下命令查看请求内容:
openssl req -in serverreq.pem -text -noout
 
2.2 用测试CA签署服务器证书:
把serverreq.pem拷贝到CA的某目录下,我们就可以按照《利用openssl创建一个简单的CA》里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了:
openssl ca -in serverreq.pem -out servercert.pem -config "$HOME/testca/conf/testca.conf"
执行过程中需要输入CA私钥的保护密码。
 
执行完后可以用以下命令查看证书内容:
openssl x509 -in servercert.pem -text -noout
 
2.3 制作服务器pkcs12文件(包含服务器密钥、证书和CA的证书)
openssl pkcs12 -export -in servercert.pem -inkey serverkey.pem /
                        -out tomcat.p12 -name tomcat -CAfile "$HOME/testca/cacert.pem" /
                        -caname root -chain
执行过程中要输入服务器密钥的保护密码(serverkey.pem)和新生成的tomcat.p12的保护密码,我们都输入222222。
创建完成后,把pkcs12文件拷贝到tomcat的conf目录下。
 
3. 创建服务器信任的客户端CA证书库:
同方法一的对应章节,这里,我们假设客户端个人证书(后续章节介绍如何生成客户端个人证书)也是由测试CA签发的,所以我们要把cacert.pem证书导入信任证书库:
keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem
 
可以用以下命令查看信任证书库内容:
keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v
 
4. 配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书):
修改tomcat的conf目录里的server.xml文件($TOMCAT_HOME/conf/server.xml),找到类似下面内容的配置处,添加配置如下:
    <Connector port="8443"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" debug="0" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS"
               keystoreFile="conf/tomcat.p12" keystorePass="222222" keystoreType="PKCS12" 
               truststoreFile="conf/truststore.jks" truststorePass="222222" truststoreType="JKS" />
 
注意:其中keystore的keystoreType与方法一的配置不同。经以上配置后,重启tomcat,服务器就支持HTTPS双向认证了。

四. 创建用于客户端(浏览器)测试的个人数字证书(pkcs12格式)
完全按照《利用openssl创建一个简单的CA》里提到的制作个人数字证书方法来进行,请参考《利用openssl创建一个简单的CA》的“三. 自己生成公钥密钥,并用测试CA签发数字证书”章节。
 
1. 创建个人密钥和证书请求(证书请求里包含了公钥)
创建$HOME/testuser1目录并执行命令:(证书等都放到这个目录)
mkdir $HOME/testuser1
cd $HOME/testuser1
openssl req -newkey rsa:1024 -keyout testkey.pem -keyform PEM -out testreq.pem -outform PEM -subj "/O=TestCom/OU=TestOU/CN=testuser1" 
执行过程中需要输入私钥的保护密码,假设我们输入密码: 222222
 
执行完后,testkey.pem即为用户的密钥,而testreq.pem即为证书请求。
可以用openssl req -in testreq.pem -text -noout查看证书请求的内容。
 
2. 用CA为testuser1签发个人证书
同样还在$HOME/testuser1目录下执行命令:
openssl ca -in testreq.pem -out testcert.pem -config "$HOME/testca/conf/testca.conf"
执行过程中需要输入CA的密钥保护密码(刚才设置的888888),并且最后询问你是否要给该用户签发证书时要选y。
执行完后,testcert.pem即为证书,
可以用命令openssl x509 -in testcert.pem -text -noout查看证书内容。
 
3. 制作PKCS12文件(个人数字证书)
我们制作的这个PKCS#12文件将包含密钥、证书和颁发该证书的CA证书。
把前几步生成的密钥和证书制作成一个pkcs12文件的方法执行命令:
openssl pkcs12 -export -in testcert.pem -inkey testkey.pem -out testuser1.p12 -name testuser1 -chain -CAfile "$HOME/testca/cacert.pem"
执行过程中需要输入保护密钥的密码(222222),以及新的保护pkcs12文件的密码(222222)。
 
执行完后,若要查看testuser1.p12的内容可以用命令openssl pkcs12 -in testuser1.p12
该testuser1.p12即为pkcs12文件。你可以直接拷贝到windows下,作为个人数字证书,双击导入IE后就可以使用了。
 
五. 用一个简单webapp来测试HTTPS
服务器证书和个人证书都准备好了,我们可以写一个简单的webapp,里面只有一个jsp,用于查看https客户端验证是否起效了。
 
1. 创建webapp用于测试https:
在$TOMCAT_HOME/webapps/里创建一个目录testhttps,并在testhttps目录里创建WEB-INF目录,并在该目录里创建web.xml文件如下:
文件:$TOMCAT_HOME/webapps/WEB-INF/web.xml
<?xml version="1.0" encoding="ISO-8859-1"?>
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
    version="2.4">
  <display-name>Test HTTPS App</display-name>
</web-app>
 
2. 创建一个显示客户端证书信息的JSP:
在testhttps目录创建文件seecert.jsp
文件:$TOMCAT_HOME/webapps/WEB-INF/seecert.jsp
<%@ page  import="java.security.cert.X509Certificate" contentType="text/html; charset=GB2312" %>
<pre>
<%
    java.security.cert.X509Certificate[] certs=null;
    try{
            certs=(X509Certificate[])request.getAttribute("javax.servlet.request.X509Certificate");

                if (certs == null) {
                        out.println("No certificates");
                } else if (certs.length == 0) {
                        out.println("Certificates length is 0");
                } else {
                        java.security.cert.X509Certificate cert = certs[0];
                        String dn = cert.getSubjectX500Principal().toString();
                        out.println("SubjectDN: " + dn);
                        out.println();
                        out.println("------------------certification detail--------------------");
                        out.println(cert);
                        out.println("----------------------------------------------------------");
                }
    } catch(Exception e){
                out.println("Exception=" + e.getMessage());
    }
%>
</pre>
 
3. 测试HTTPS并查看客户端证书信息:
访问URL:https://<tomcat>:8443/testhttps/seecert.jsp
在用浏览器访问该URL时,浏览器可能会跳出窗口让你选择用哪个客户端个人证书。
页面打开后,你将看到客户端证书的信息。
 
六. 使用wireshark(ethereal的新名称)查看HTTPS里加密的HTTP消息:
用wireshark抓包后,你可以看到HTTPS服务器与浏览器之间的HTTPS协商过程,但是HTTPS成功建立后,后续消息是加密的,如何查看加密的HTTP消息呢?你需要借助服务器的密钥(私钥)明文。
假设需要从上面提到的openssl生成的服务器证书tomcat.p12文件里导出密钥明文,生成密钥明文文件方法:
openssl pkcs12 -in tomcat.p12 -out clearserverkey.pem -nodes
然后在wireshark的协议定义里找到SSL,并在“RSA keys list”里配置如下内容:
    <server_ip>,8443,http,<path_to_clearserverkey.pem>
 
其中:
   <server_ip>——为HTTPS服务器的IP;
   8443——为HTTPS(SSL)的端口;
   http——表示SSL里加密的是HTTP协议;
   <path_to_clearserverkey.pem>——指上一步生成的clearserverkey.pem文件的本地路径。
这样,你就能看到wireshark里的SSL协议被解密,且里面的HTTP消息也看到了。

七. 客户端证书在Tomcat里的CRL检查

请参考《Tomcat里配置CRL》(http://blog.csdn.net/jasonhwang/archive/2008/05/08/2413310.aspx)。
 

更多 0

你可能感兴趣的:(如何用Tomcat和Openssl构建HTTPS双向认证环境(HTTPS客户端认证))