關於Keytool配置 Tomcat的HTTPS雙向認證的問題

證書生成

keytool 簡介

Keytool是一個Java數據證書的管理工具, Keytool將密鑰(key)和證書(certificates)存在一個稱為keystore的文件中。
在keystore裡,包含兩種數據:

  • 密鑰實體(Key entity)——密鑰(secret key)又或者是私鑰和配對公鑰(采用非對稱加密)
  • 可信任的證書實體(trusted certificate entries)——隻包含公鑰

我們常說的證書就是就是上面的公鑰,公鑰是公開給其它人使用的

  • 證書後綴解釋
  • jks 是Java的keytool證書工具支持的證書私鑰格式;
  • pfx 是微軟支持的私鑰格式(p12是pfx的新格式);
  • cer / crt 是證書的公鑰格式(cer是crt證書的微軟形式)
  • csr 數字證書簽名請求文件(Cerificate Signing Request)

Tips:

  • .der .cer : 此證書文件是二進制格式,隻含有證書信息,不包含私鑰。
  • .crt : 此證書文件是二進制格式或文本格式,一般為文本格式,功能與 .der.cer 證書文件相同。
  • .pem : 此證書文件一般是文本格式,可以存放證書或私鑰,或者兩者都包含。
  • .pem 文件如果隻包含私鑰,一般用 .key 文件代替。
  • .pfx .p12 : 此證書文件是二進制格式,同時包含證書和私鑰,且一般有密碼保護。
  • .keystore .truststore : 兩者本質都是keystore,都是儲存密鑰的容器:
  • 不過兩者存放的密鑰所有者不同,keystore是存儲自己的公鑰和私鑰而,truststore是存儲自己信任對象的公鑰。約定通過文件名稱區分類型以及用途
  • truststore 是必須的,如果我們沒有顯式的指定,那麼java會默認指定為 $JAVA_HOME/lib/security/cacerts 這個文件
  • java 在jdk 中已經默認在 $JAVA_HOME/lib/security/cacerts 這個文件中預置瞭常用的證書
  • 不同語言需要的證書格式並不一致,比如說Java采用jks,.Net采用pfx和cer,Php則采用pem和cer;
  • 區別證書的不是後綴名,而是文件的格式和內容。

keytool 命令詳解

  • 密鑰和證書管理工具
-certreq            生成證書請求
-changealias        更改條目的別名
-delete             刪除條目
-exportcert         導出證書(簡寫 export)
-genkeypair         生成密鑰對(簡寫 genkey)
-genseckey          生成密鑰
-gencert            根據證書請求生成證書
-importcert         導入證書或證書鏈(簡寫 import)
-importpass         導入口令
-importkeystore     從其他密鑰庫導入一個或所有條目
-keypasswd          更改條目的密鑰口令
-list               列出密鑰庫中的條目
-printcert          打印證書內容
-printcertreq       打印證書請求的內容
-printcrl           打印 CRL 文件的內容
-storepasswd        更改密鑰庫的存儲口令

Tips:

  • 使用 ketytool --help 獲取所有可用命令
  • 使用 keytool -command_name -help 來獲取 command_name 的用法
  • 常用參數
-genkey         產生密鑰對(genkeypair 簡寫);表示要創建一個新的密鑰;alias和keystore缺省時,在用戶主目錄中創建一個”.keystore”文件,且別名為mykey,包含用戶的公鑰、私鑰證書
-alias          產生證書別名,和keystore關聯的唯一別名,不區分大小寫(默認 `mykey`)
-keystore       指定密鑰庫文件的名稱(默認在用戶主目錄創建證書庫)
-keyalg         指定密鑰的算法(可選擇密鑰算法:`RSA`、`DSA`、`EC`,默認`DSA`)
-keysize        指定密鑰長度(與keyalg默認對應關系:`RSA=2048`、`DSA=2048`、`EC=256`)
-sigalg         指定簽名算法(MD5和 SHA1的簽名算法已經不安全)
-validity       指定證書有效期天數(默認 `90`天)
-storepass      指定密鑰庫口令,推薦與keypass一致(獲取keystore信息所需的密碼)
-storetype      指定密鑰庫的類型,可用類型為:JKS、PKCS12等。(jdk9以前,默認為JKS。自jdk9開始,默認為PKCS12)
-keypass        指定別名條目口令(私鑰的密碼)
-dname          指定證書發行者信息(其中 CN 要和服務器的域名相同,本地測試則使用localhost,其他的可以不填)
-list           顯示密鑰庫中的證書信息
-v              詳細輸出,顯示密鑰庫中的證書詳細信息
-file           指定導出或導出的文件名
-export         將別名指定的證書導出到文件(exportcert 簡寫)
-import         將已簽名數字證書導入密鑰庫(importcert 簡寫)
-printcert      查看導出的證書信息
-delete         刪除密鑰庫中某條目
-keypasswd      修改密鑰庫中指定條目口令
-storepasswd    修改keystore口令
-ext            X.509 擴展
  • 所有密碼長度必須大於或等於 6 位
  • keyalg 指定加密算法;可以選擇的密鑰算法有:RSA、DSA(默認)、EC。
  • sigalg 指定簽名算法(MD5和 SHA1的簽名算法已經不安全):
  • keyalg = RSA 時,簽名算法有:MD5withRSA、SHA1withRSA、SHA256withRSA(默認)、SHA384withRSA、SHA512withRSA
  • keyalg = DSA 時,簽名算法有:SHA1withDSA、SHA256withDSA(默認)
  • dname 表明瞭密鑰的發行者身份(Distinguished Names)
    • CN = 域名或IP(Common Name) 註:生成服務器證書時,CN要和服務器的域名相同,本地測試則使用localhost,其他的可以不填(客戶端證書無要求)
    • OU = 組織單位名稱(Organization Unit)
    • O = 組織名稱(Organization Name)
    • L = 城市或區域名稱(Locality Name)
    • ST = 州或省份名稱(State Name)
    • C = 國傢的簡寫(Country,CN 代表中國)

創建證書

創建秘鑰庫(keystore),秘鑰庫是存儲一個或多個密鑰條目的文件,每個密鑰條目應該以一個別名標識,它包含密鑰和證書相關信息。

Usage:

keytool -genkey 
        -alias <alias> 
        -keyalg RSA 
        [-sigalg SHA256withRSA] 
        [-keysize 2048] 
        -keypass <keypasswd> 
        -keystore <keystore_file> 
        -storetype JKS|PKCS12 
        -storepass <keystore_passwd> 
        -validity 3650 
        -dname "CN=github.com,OU=github.com,Inc.,O=Github, Inc.,L=San Francisco,ST=California,C=US" 
        -ext SAN=dns:github.com,dns:www.github.com,ip:127.0.0.1 

Options:

-genkey     產生密鑰對(genkeypair 簡寫)
-alias      證書別名;和keystore關聯的唯一別名,這個alias通常不區分大小寫(默認`mykey`)
-keyalg     指定加密算法,RSA:非對稱加密(默認`DSA`)
-sigalg     指定簽名算法,可選;
-keysize    指定密鑰長度,可選;
-keypass    指定別名條目口令(私鑰的密碼)
-storetype  生成證書類型,可用的證書庫類型為:JKS、PKCS12等。
-keystore   指定產生的密鑰庫的位置;
-storepass  指定密鑰庫的存取口令,推薦與keypass一致
-validity   證書有效期天數;(默認為 90天)
-dname      表明瞭密鑰的發行者身份(Distinguished Names)生成證書時,其中 CN 要和服務器的域名相同,本地測試則使用localhost,其他的可以不填
-ext        X.509 擴展

Tips:

  • 此處需要註意:MD5和SHA1的簽名算法已經不安全;
  • 如果Tomcat所在服務器的域名不是“localhost”時,瀏覽器會彈出警告窗口,提示用戶證書與所在域不匹配。
  • 服務器證書 dname的 CN應改為對應的域名,如“www.github.com”;在本地做開發測試時,CN應填入“localhost”;
  • 客戶端證書 dname的 CN可以是任意值,且不用使用 -ext擴展。

創建證書栗子

生成服務器證書

keytool -genkey -alias server -keyalg RSA -keypass 123456 -keystore ~/ssl/tomcat.jks [-storetype JKS] -storepass 123456 -validity 3650 -dname "CN=localhost" -ext SAN=ip:127.0.0.1

生成客戶端證書,以便讓服務器來驗證它。為瞭能將證書順利導入至IE和Firefox,證書格式應該是PKCS12(客戶端的CN可以是任意值)

keytool -genkey -alias client -keyalg RSA -keypass 123456 -keystore ~/ssl/client.p12 -storetype PKCS12 -storepass 123456 -validity 3650 -dname "CN=client"

導出證書信息

此證書文件不包含私鑰;分為自簽名證書和認證證書,下面分別介紹瞭兩中證書的生成方式

  • 認證證書與導出的服務器自簽名證書作用一致,使用時取其中一種證書即可。兩者主要區別為是否經證書機構認證;
  • 使用自簽名證書則無需生成證書簽名請求(CSR),使用認證證書則無需導出服務器自簽名證書;
  • 大部分認證證書都是收費的;

導出自簽名證書

自簽名證書沒有經過證書認證機構進行認證,但並不影響使用,我們可以使用相應的命令對證書進行導出;

Usage:

keytool -export 
        -alias <alias> 
        -keystore <keystore_file> 
        -storepass <keystore_passwd> 
        -file <file_cer>    
        [-rfc] 

Options:

-export     執行證書導出操作(exportcert 簡寫)
-alias      密鑰庫中的證書條目別名(jks裡可以存儲多對公私鑰文件,通過別名指定導出的公鑰證書)
-keystore   指定密鑰庫文件
-storepass  密鑰庫口令
-file       導出文件的輸出路徑
-rfc        使用Base64格式輸出(輸出pem編碼格式的證書,文本格式),不適用則導出的證書為DER編碼格式

導出證書栗子

導出服務器證書

此處為服務器的自簽名證書導出, 如果需要使用認證證書,則生成證書簽名請求

keytool -export -alias server -keystore ~/ssl/tomcat.jks -storepass 123456 -file ~/ssl/server.cer

導出客戶端證書

雙向認證: 服務端信任客戶端,由於不能直接將PKCS12格式的證書庫導入,所以必須先把客戶端證書導出為一個單獨的CER文件

keytool -export -alias client -keystore ~/ssl/client.p12 -storepass 123456 -file ~/ssl/client.cer -rfc

獲取認證證書(生成證書簽名請求)

如果想得到證書認證機構的認證,則不使用上述的自簽名證書,需要使用步驟導出數字證書並簽發申請(Cerificate Signing Request),經證書認證機構認證並頒發後,再將認證後的證書導入本地密鑰庫與信任庫。

Usage:

keytool -certreq 
        -alias <alias> 
        -keystore <keystore_file> 
        -storepass <keystore_passwd> 
        -file <file_csr> 

Options:

-certreq    執行證書簽發申請導出操作
-alias      密鑰庫中的證書條目別名
-keystore   密鑰庫文件名稱
-storepass  密鑰庫口令
-file       輸出的csr文件路徑

生成證書簽名請求栗子

生成證書簽名請求(CSR)

keytool -certreq -alias server -keystore ~/ssl/tomcat.jks -storepass 123456 -file ~/ssl/certreq.csr

查看生成的CSR證書請求

keytool -printcertreq -file certreq.csr

導入證書庫

雙向認證: 將各自的公鑰證書分別導入對方的信任庫,使客戶端和服務端相互信任。

Usage:

keytool -import 
        [-trustcacerts] 
        -alias <alias_cer> 
        -keystore <keystore_file>
        -storepass <keystore_passwd> 
        -file <file_cer> 

Options:

-import     執行證書導入操作(importcert 簡寫)
-alias      指定導入密鑰庫中的證書別名(指定的條目別名不能與密鑰庫中已存在的條目別名重復(導入簽發證書除外))
-trustcacerts    將證書導入信任庫(信任來自 cacerts 的證書)
-keystore   密鑰庫名稱
-storepass  密鑰庫口令
-file       輸入文件名

導入證書栗子

1.安裝服務器證書(將服務器公鑰證書導入客戶端)

雙向認證: 客戶端信任服務端: 在客戶機器上雙擊證書文件完成導入操作(window中導入)

  • 將服務器公鑰證書 server.cer 發往客戶端機器 >> 雙擊該證書進入“證書信息”頁 >> 點擊【安裝證書】進入“證書導入向導”首頁 >> 點擊【下一步】>> 選中【將所有的證書都放入下列存儲】,然後單擊【瀏覽】 >> 選擇【受信任的根證書頒發機構】b並點擊【確定】 >> 點擊【下一步】 >> 點擊【完成】。然後彈出提示【導入完成】。
  • 將客戶端證書 client.p12 發往客戶端機器 >> 雙擊該證書進入“證書導入向導”首頁 >> 點擊【下一步】>> 點擊【下一步】>> 輸入證書密碼(keystore密碼)並點擊【下一步】 >> 點擊【下一步】 >> 點擊【完成】。然後彈出提示【導入完成】。

2.證書導入信任庫(將客戶端公鑰證書導入信任庫)

雙向認證: 服務端信任客戶端:

keytool -import -alias clientCert -keystore ~/ssl/truststore.jks -storepass 123456 -file ~/ssl/client.cer

此步驟會生成信任證書 truststore.jks文件, 文件存放需要信任的公鑰證書,如客戶端證書(也可以將 keystore值改為服務器密鑰庫,即tomcat.jks。此時的tomcat.jks 就同時是服務的密鑰庫和信任庫)

查看證書

Usage:

# 查看單個證書(cer | crt)
keytool -printcert -file <cert_file> [-v|-rfc]

# 查看密鑰庫中的證書條目
keytool -list [-alias <alias_name>] -keystore <keystore_file> -storepass <keystore_passwd> [-v|-rfc]

# 查看生成的CSR證書請求
keytool -printcertreq -file <certreq_file>     

Options:

-alias      密鑰庫中的證書條目別名;
-keystore   指定密鑰庫文件;
-storepass  密鑰庫口令;
-printcert  執行證書打印命令;
-list       缺省情況下,命令打印證書的 MD5 指紋。
    而如果指定瞭 -v 選項,將以可讀格式打印證書,
    如果指定瞭 -rfc 選項,將以可打印的編碼格式輸出證書。

查看栗子證書

查看證書信息

keytool -printcert -file ~/ssl/client.cer [-v|-rfc]

查看密鑰庫

keytool -list -keystore ~/ssl/tomcat.jks -storepass 123456 -v

查看base64的內容(即PEM編碼)

keytool -list -keystore ~/ssl/tomcat.jks -storepass 123456 -rfc

其他keytool命令

# 刪除keystore裡面指定證書條目
keytool -delete -alias <alias> -keystore <keystore_file> -storepass <keystore_passwd>
# 修改條目別名
keytool -changealias -keystore <keystore_file> -alias <old_alias> -destalias <new_alias>
# 修改條目密碼
keytool -keypasswd -alias <alias> -keypass <old_keypasswd> -new <new_keypasswd> -keystore <keystore_file> -storepass <keystore_passwd>
# 修改keysore密碼
keytool -storepasswd -new <new_storepasswd> -keystore <keystore_file> -storepass <old_storepasswd>
# 列出信任的CA證書(查看 JVM的信任庫中的證書,storepass 默認為changeit)
## 該證書文件存在於JAVA_HOME\jre\lib\security目錄下,是Java系統的CA證書倉庫,可以用 'alias' 來查看證書是否真的導入到JVM中
keytool -list -v [-alias clientCer] -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit
# 導入新的CA到信任證書,導入到 JRE的信任證書庫
## 常出現的異常:“未找到可信任的證書”  -- 主要原因為在客戶端未將服務器下發的證書導入到JVM中。
keytool -import -trustcacerts -alias clientCer -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit -file ~/ssl/client.cer

Tomcat服務認證配置

打開Tomcat_HOME/conf/server.xml,找到如下原註釋內容,並修改如下:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="true" sslProtocol="TLS"
    keystoreFile="~/ssl/tomcat.jks" keystorePass="123456"
    truststoreFile="~/ssl/truststore.jks" truststorePass="123456"
/>

Tips:

  • 其中 clientAuth 指定是否需要驗證客戶端證書
  • false : 表示單向SSL驗證,即服務端認證;
  • true : 表示強制雙向SSL驗證,必須驗證客戶端證書;
  • want : 表示可以驗證客戶端證書,但如果客戶端沒有有效證書,也不強制驗證。
  • 如果設置瞭clientAuth="true",則需要強制驗證客戶端證書。可通過雙擊 p12 文件將證書導入至瀏覽器;
  • 瀏覽器的HTTP缺省端口為 80 , HTTPS缺省端口為 443
  • keystoreFile /keystorePass : 服務器證書文件和密碼;
  • truststoreFile /truststorePass : 信任證書文件和密碼;用來驗證客戶端的。

SSL單向證書認證配置

創建服務器證書導出服務器公鑰證書將服務器公鑰證書導入客戶端(客戶端信任服務器)配置 Tomcat
打開Tomcat_HOME/conf/server.xml,找到如下原註釋內容,並修改如下:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="false" sslProtocol="TLS"
    keystoreFile="~/ssl/tomcat.jks" keystorePass="123456"()
/>

SSL雙向證書認證配置

  • 創建服務器證書,創建客戶端證書
  • 導出服務器公鑰證書,導出客戶端公鑰證書
  • 將服務器公鑰證書導入客戶端(客戶端信任服務器)
  • 將客戶端公鑰證書導入信任庫(服務器信任客戶端)
  • 配置 Tomcat,並開啟雙向認證():

打開Tomcat_HOME/conf/server.xml,找到如下原註釋內容,並修改如下:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
    maxThreads="150" scheme="https" secure="true"
    clientAuth="true" sslProtocol="TLS"
    keystoreFile="~/ssl/tomcat.jks" keystorePass="123456"
    truststoreFile="~/ssl/truststore.jks" truststorePass="123456"
/>

配置Tomcat服務 HTTP自動跳轉到 HTTPS(按需選配)

打開Tomcat_HOME/conf/web.xml,在 與 加入如下代碼:

<login-config> 
    <!-- Authorization setting for SSL --> 
    <auth-method>CLIENT-CERT</auth-method> 
    <realm-name>Client Cert Users-only Area</realm-name> 
</login-config> 
<security-constraint> 
    <!-- Authorization setting for SSL --> 
    <web-resource-collection > 
        <web-resource-name >SSL</web-resource-name> 
        <url-pattern>/*</url-pattern> 
    </web-resource-collection> 
    <user-data-constraint> 
        <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
    </user-data-constraint> 
</security-constraint> 

測試

  • 啟動 Tomcat項目
  • 訪問 項目地址,本地配置如: https://localhost:8443/
  • 如果遇到“不安全”的提示,可能是客戶端未安裝服務器證書

常見問題

瀏覽器訪問時提示:

  • 此服務器無法證實它是“192.168..” – 您計算機的操作系統不信任其安全證書 。。。
  • –客戶端未導入服務器證書
  • 此服務器無法證實它就是“192.168..” – 它的安全證書沒有指定主題備用名稱 。。。
  • –生成服務器證書庫未使用 -ext參數
  • “192.168..”不接受您的登錄證書,或者您可能沒有提供登錄證書。。。
  • –Tomcat配置未指定信任證書庫(truststore)

Reference

https://www.cnblogs.com/molao-doing/articles/9687445.html

https://yoloz.github.io/2020/04/17/security/keytool命令詳解/

https://blog.csdn.net/qq_26708427/article/details/68491201

到此這篇關於Keytool配置 Tomcat的HTTPS雙向認證的文章就介紹到這瞭,更多相關Tomcat HTTPS雙向認證內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: