SSL雙向認證證書制作過程流程

1、SSL雙向認證證書制作流程SSL雙向認證證書制作流程含單向SSL一、 證書制作：1、 生成服務(wù)器密鑰（庫）：keytool -genkey -alias server -keyalg RSA -keysize 2048 -validity 3650 -dname "CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN" -keypass 123456 -keystore server.jks -storepass 123456CN：要簽名的域名或IP（說明：此處為要配置SSL服務(wù)器IP或域名）OU：組織單位名稱，如：公司注冊

2、簡稱O：組織名稱，如：公司英文全稱L：城市或地區(qū)名稱，如：BeijingST：州或省份名稱，如：BeijingC：單位的兩字母國家代碼，如：CN2、 驗證生成的服務(wù)器密鑰（庫）：keytool -list -v -keystore server.jks -storepass 1234563、 為步驟1生成的服務(wù)器密鑰（庫）創(chuàng)建自簽名的證書：keytool -selfcert -alias server -keystore server.jks -storepass 1234564、 驗證生成的服務(wù)器密鑰（庫）：keytool -list -v -keystore server.jks -sto

3、repass 1234565、 導(dǎo)出自簽名證書：keytool -export -alias server -keystore server.jks -file server.cer -storepass 123456說明：此證書為后續(xù)要導(dǎo)入到瀏覽器中的受信任的根證書頒發(fā)機構(gòu)。6、 生成客戶端密鑰（庫）：說明：keytool genkey命令默認生成的是keystore文件，但為了能順利導(dǎo)入到IE或其他瀏覽器中，文件格式應(yīng)為PKCS12。稍后，此P12文件將導(dǎo)入到IE或其他瀏覽器中。keytool -genkey -alias client -keyalg RSA -keysize 2048

4、-validity 3650 -dname "CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN" -storetype PKCS12 -keypass 123456 -keystore client.p12 -storepass 123456CN：要簽名的域名或IP(特別說明：這里是客戶端機構(gòu)的域名或IP)OU：組織單位名稱，如：公司注冊簡稱O：組織名稱，如：公司英文全稱L：城市或地區(qū)名稱，如：BeijingST：州或省份名稱，如：BeijingC：單位的兩字母國家代碼，如：CN7、 提取客戶端密鑰的公鑰：只有客戶端密鑰

5、庫文件還不行，還需要一個證書文件。畢竟證書文件才是直接提供給外界的公鑰憑證，因此需要將客戶端密鑰庫文件中的公鑰導(dǎo)入到某個證書文件中。keytool -export -alias client -keystore client.p12 -storetype PKCS12 -rfc -file client.cer -storepass 1234568、 將客戶端密鑰庫的公鑰導(dǎo)入到服務(wù)端密鑰庫中：keytool -import -v -file client.cer -keystore server.jks -storepass 1234569、 驗證生成的服務(wù)器密鑰（庫）：keytool -li

6、st -v -keystore server.jks -storepass 123456說明：驗證步驟8的公鑰是否導(dǎo)出成功。二、 證書導(dǎo)入：1、 導(dǎo)入客戶端密鑰（庫）：a) 對于IE瀏覽器，選擇Internet選項，則顯示如下:b) 點擊證書按鈕，顯示如下:c) 點擊導(dǎo)入，顯示如下：d) 點擊下一步，顯示如下：注意：選擇文件時，必須確認文件格式為：e) 點擊下一步，并在密碼處鍵入，創(chuàng)建客戶端密鑰（庫）時所鍵入的密碼，這里是123456：f) 選擇下一步，顯示如下：選擇將所有的證書放入下列存儲(P)為：個人，然后點擊下一步，顯示如下：g) 單擊完成，顯示如下：單擊確定，自此客戶端密鑰（庫）導(dǎo)入瀏

7、覽器的操作完成。2、 導(dǎo)入服務(wù)器密鑰（庫）受信任的根證書：a) 對于IE瀏覽器，選擇Internet選項，則顯示如下：b) 點擊證書按鈕，顯示如下：c) 點擊導(dǎo)入，顯示如下：d) 點擊下一步，顯示如下：e) 選擇要導(dǎo)入的文件，這里我們選擇步驟5導(dǎo)出的server.cer證書，單擊下一步顯示如下：f) 選擇獎所有的證書放入下列存儲：收信人的根證書頒發(fā)機構(gòu)，點擊下一步，顯示如下：g) 單擊完成，顯示如下：h) 由于我們是一個自簽名證書，所以windows會給出上面的安全提示，選擇“是”，顯示如下：單擊確定，自此服務(wù)器密鑰（庫）受信任的根證書導(dǎo)入瀏覽器的操作完成。三、 服務(wù)器配置SSL：說明，服務(wù)器

8、配置SSL因應(yīng)用服務(wù)器不同，其配置方法也不一樣，這里僅以tomcat6為例：1、 配置雙向SSL：a) 將服務(wù)器密鑰（庫）文件放置在%TOMCATE_HOME%/onf下：b) 修改配置文件%TOMCATE_HOME%/onf/server.xml具體配置如下：<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true"

9、 clientAuth="true" sslProtocol="TLS" keystoreFile="conf/server.jks" keystorePass="123456" truststoreFile="conf/server.jks" truststorePass="123456" />參數(shù)說明：clientAuth如果想要Tomcat為了使用這個socket而要求所有SSL客戶出示一個客戶證書，置該值為true。keystoreFile如果創(chuàng)建的keysto

10、re文件不在Tomcat認為的缺省位置（一個在Tomcat運行的home目錄下的叫.keystore的文件），則加上該屬性。可以指定一個絕對路徑或依賴$CATALINA_BASE環(huán)境變量的相對路徑。keystorePass如果使用了一個與Tomcat預(yù)期不同的keystore（和證書）密碼（changeit），則加入該屬性。keystoreType如果使用了一個PKCS12 keystore，加入該屬性。有效值是JKS和PKCS12。sslProtocolsocket使用的加密/解密協(xié)議。如果使用的是Sun的JVM，則不建議改變這個值。據(jù)說IBM的1.4.1版的TLS協(xié)議的實現(xiàn)和一些流行的瀏覽

11、器不兼容。這種情況下，使用SSL。ciphers此socket允許使用的被逗號分隔的密碼列表。缺省情況下，可以使用任何可用的密碼。algorithm使用的X509算法。缺省為Sun的實現(xiàn)（SunX509）。對于IBM JVMS應(yīng)該使用ibmX509。對于其它JVM，參考JVM文檔取正確的值。truststoreFile用來驗證客戶證書的trustStore文件。truststorePass訪問trustStore使用的密碼。缺省值是keystorePass。truststoreType如果使用一個不同于正在使用的KeyStore的TrustStore格式，加入該屬性。有效值是JKS和PKCS1

12、2。2、 配置單向SSL：a) 修改配置文件%TOMCATE_HOME%/onf/server.xml具體配置如下：<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" maxThreads="150" SSLEnabled="true" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="conf