根證書
1.建立ca工作目錄
mkdir ca
cd ca
2.生成ca私鑰
openssl genrsa -out ca-key.pem 1024
3.生成待簽名證書
openssl req -new -out ca-req.csr -key ca-key.pem
即為ca根證書,可將其下發到客戶端,匯入作為根證書。私鑰changeit
4.用ca私鑰自簽名
openssl x509 -req -in ca-req.csr -out ca-cert.pem -signkey ca-key.pem -days 365
5.匯出pk12
openssl pkcs12 -export -clcerts -in ca-cert.pem -inkey ca-key.pem -out ca-cert.p12
檢視證書
openssl x509 -in ca-cert.pem -noout -text -modulus
如果按請求生成ca證書,由證書申請者生成請求檔案certreq.txt。ca端執行簽名,生成證書檔案1.cer
openssl x509 -req -in c:\certreq.txt -out c:\1.cer -ca ca\ca-cert.pem -cakey ca\ca-key.pem -days 365 -cacreateserial
生成server證書
1.建立私鑰
openssl genrsa -out server-key.pem 1024
2.建立證書請求
openssl req -new -out server-req.csr -key server-key.pem
3.自簽署證書
openssl x509 -req -in server-req.csr -out server-cert.pem -signkey server-key.pem -ca ../ca/ca-cert.pem -cakey ../ca/ca-key.pem -cacreateserial -days 365
4.將證書匯出成瀏覽器支援的.p12格式,密碼changeit
openssl pkcs12 -export -clcerts -in server-cert.pem -inkey server-key.pem -out server.p12
keytool -keystore serverstore.jks -keypass 123456 -storepass 123456 -alias ca -import -trustcacerts -file ~/ca/ca-cert.pem
keytool -keystore serverstore.jks -keypass 123456 -storepass 123456 -alias server -import -trustcacerts -file ~/server/server-cert.pem
生成client證書
1.建立私鑰 :
openssl genrsa -out client-key.pem 1024
2.建立證書請求 :
openssl req -new -out client-req.csr -key client-key.pem
3.自簽署證書 :
openssl x509 -req -in client-req.csr -out client-cert.pem -signkey client-key.pem -ca ../ca/ca-cert.pem -cakey ../ca/ca-key.pem -cacreateserial -days 36
openssl x509 -in client-cert.pem -noout -text -modulus
4.將證書匯出成瀏覽器支援的.p12格式 :
openssl pkcs12 -export -clcerts -in client-cert.pem -inkey client-key.pem -out client.p12
密碼:changeit
根據ca證書生成jks檔案
keytool -keystore truststore.jks -keypass 123456 -storepass 123456 -alias ca -import -trustcacerts -file ~/ca/ca-cert.pem
匯入證書
在客戶端瀏覽器匯入ca-cert.p12作為受信任的根證書,client.p12作為個人證書
tomcat
配置server.xml
jsse模式
apr模式
注意事項
ie8支援sslv3,tls, 不支援sslv2
tomcat配置ssl雙向認證
接上篇tomcat ssl單向認證 url 本文在單向認證的基礎上完成雙向認證配置。1 使用以下命令生成客戶端證書,並將此證書安裝到客戶端 此證書請安裝到個人目錄下 keytool genkey v alias client1 keyalg rsa storetype pkcs12 keysize ...
Tomcat7配置雙向SSL
根證書 1.建立ca工作目錄 mkdir ca cd ca 2.生成ca私鑰 openssl genrsa out ca key.pem 1024 3.生成待簽名證書 openssl req new out ca req.csr key ca key.pem 即為ca根證書,可將其下發到客戶端,匯入...
Tomcat雙向SSL認證的配置
在tomcat 6中配置ssl雙向認證是相當容易的,本文將介紹如何使用jdk的keytool來為tomcat配置雙向ssl認證。系統需求 jdk 5.0 tomcat 6.0.16 第一步 為伺服器生成證書 使用keytool為tomcat生成證書,假定目標機器的網域名稱是 localhost ke...