環(huán)境中配置SSL雙向認(rèn)證

1、在Java環(huán)境中配置SSL雙向認(rèn)證在Java環(huán)境中配置Https雙向認(rèn)證，需要使用JDK自帶的keytool工具，在命令行方式下，生成服務(wù)器證書(shū)申請(qǐng)文CSR，然后到CA簽發(fā)服務(wù)器證書(shū)。以下為在Tomcat和Weblogic中配置Https雙向認(rèn)證的步驟，環(huán)境為JDK1.5。1在Tomcat中配置HTTPS雙向認(rèn)證在Tomcat5.0中配置Https雙向認(rèn)證的步驟如下：1 產(chǎn)生keystore文件：keytool -genkey -alias tomcat -keyalg RSA -keystore keystore此時(shí)可在當(dāng)前目錄下看到keystore文件。申請(qǐng)服務(wù)器證書(shū)時(shí)，CN需要和網(wǎng)站的域

2、名或者IP相同，否則IE7會(huì)認(rèn)為該證書(shū)是為別的網(wǎng)站頒發(fā)的。2 生成服務(wù)器證書(shū)申請(qǐng)文件CSR：keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore keystore此時(shí)可在當(dāng)前目錄下看到文件certreq.csr。把certreq.csr文件內(nèi)容和DN提交到CA管理員，即可申請(qǐng)到服務(wù)器證書(shū)。DN為：CN=, OU=research, O=cwca, L=YC, ST=NX, C=CN。從CA獲得的服務(wù)器證書(shū)為user.p7b，可從其中分別導(dǎo)出base64格式的根證和服務(wù)器證書(shū)：NXCA.cer和client.

3、cer。3 將根證書(shū)導(dǎo)入到keystore文件中：keytool -import -trustcacerts -alias root -file NXCA.cer -keystore keystore4 將服務(wù)器證書(shū)導(dǎo)入到keystore文件中：keytool -import -alias tomcat -file client.cer -keystore keystore5.進(jìn)行Tomcat的配置：把keystore文件拷入%CATALINA_HOME%/conf目錄下；修改文件%CATALINA_HOME%/conf/server.xml,知道 <Connector port=&qu

4、ot;8443" 這一行，默認(rèn)是注釋掉的；去掉注釋?zhuān)缓笤黾觾尚校簁eystoreFile="/conf/keystore" keystorePass="12345678" truststoreFile="/conf/keystore" truststorePass="12345678"修改結(jié)果如下圖：如果clientAuth="false"，則服務(wù)器不需要客戶(hù)端證書(shū)；如果clientAuth="true"，則客戶(hù)端必須提供證書(shū)才能進(jìn)行訪(fǎng)問(wèn)。6啟動(dòng)Tomcat，輸入

5、5:8443/，即可訪(fǎng)問(wèn)應(yīng)用；Https默認(rèn)端口為443，如果把監(jiān)聽(tīng)端口改為443，則訪(fǎng)問(wèn)時(shí)就不需要加端口號(hào)了。Tomcat5.0和Tomcat6.0的配置過(guò)程相同。2在Weblogic中配置HTTPS雙向認(rèn)證在Weblogic8.1中配置Https雙向認(rèn)證的步驟如下：1 產(chǎn)生keystore文件：keytool -genkey -alias weblogic -keyalg RSA -keystore weblogic.jks此時(shí)可在當(dāng)前目錄下看到weblogic.jks文件。2.生成服務(wù)器證書(shū)申請(qǐng)文件CSR：keytool -certreq -keyal

6、g RSA -alias weblogic -file certreq.csr -keystore weblogic.jks此時(shí)可在當(dāng)前目錄下看到文件certreq.csr。把certreq.csr文件內(nèi)容和DN提交到CA管理員，即可申請(qǐng)到服務(wù)器證書(shū)。DN為：CN=, OU=research, O=cwca, L=YC, ST=NX, C=CN。從CA獲得的服務(wù)器證書(shū)為user.p7b，可從其中分別導(dǎo)出base64格式的根證和服務(wù)器證書(shū)：NXCA.cer和TESTSERVER.cer。3. 導(dǎo)入根證書(shū)NXCA.cer到weblogic.jks中keytool -import -alias te

7、stroot -trustcacerts -file NXCA.cer -keystore weblogic.jks4. 導(dǎo)入服務(wù)器證書(shū)TESTSERVER.cer到weblogic.jks中keytool -import -trustcacerts -alias weblogic -file TESTSERVER.cer -keystore weblogic.jks5.進(jìn)入Weblogic管理頁(yè)面進(jìn)行配置：A.進(jìn)入Weblogic控制臺(tái)：http:/localhost:7001/consoleB.選擇：mydomain->Servers->myserver->General

8、頁(yè)面，找到屬性：SSL Listen Port Enabled，將其選中，如圖：在此可以修改SSL監(jiān)聽(tīng)端口為443。C.進(jìn)入D:beaweblogic81目錄，新建文件夾jks，把weblogic.jks拷入其中。D.進(jìn)入myserver->Keystores & SSL頁(yè)面，做如下配置：屬性Keystore Configuration->Identity中：Custom Identity Keystore的值為：D:beaweblogic81jksweblogic.jks；Type值為：jks；輸入兩次Keystore密碼；屬性Keystore Configuration

9、->Trust 的屬性值和Identity相同；屬性SSL Configuration->Identity中：Private Key Alias的值為Keystore的別名weblogic；輸入兩次Keystore密碼；配置如下圖：配置完成，點(diǎn)擊頁(yè)面右下角的Apply即可。E.以上為SSL單項(xiàng)認(rèn)證，如果要配置SSL雙向認(rèn)證，在Keystores & SSL  頁(yè)面中：點(diǎn)擊屬性Advanced Options的show，如圖：找到屬性Two Way Client Cert Behavior，將其值改為：Client Certs Requested And

10、Enforced，如圖：點(diǎn)擊頁(yè)面右下角的Apply即可。F.重啟Weblogic服務(wù)，在IE地址欄中輸入：，即可訪(fǎng)問(wèn)應(yīng)用。Weblogic8.1以上版本與此配置方法相同。3在Websphere6.1中配置HTTPS雙向認(rèn)證1. 產(chǎn)生keystore文件：keytool -genkey -alias server -keyalg RSA -keystore keystore2. 生成服務(wù)器證書(shū)申請(qǐng)文件CSR：keytool -certreq -keyalg RSA -alias server -file certreq.csr -keystore keystore3. 將根證書(shū)導(dǎo)入到keysto

11、re文件中：keytool -import -trustcacerts -alias root -file NXCA.cer -keystore keystore4. 將服務(wù)器證書(shū)導(dǎo)入到keystore文件中：keytool -import -alias tomcat -file client.cer -keystore keystore5. Webphere6.1雙向認(rèn)證設(shè)置，打開(kāi)Webphere6.1控制臺(tái)，點(diǎn)擊左側(cè)窗口安全性，點(diǎn)開(kāi)后里邊有ssl證書(shū)和密鑰管理選項(xiàng)點(diǎn)擊它。然后點(diǎn)擊管理端點(diǎn)安全配置，點(diǎn)擊點(diǎn)擊密鑰庫(kù)和證書(shū)，然后點(diǎn)擊新建新建密鑰庫(kù)和證書(shū)，填入名稱(chēng)，keystore文件的路徑，keystore文件的密碼，類(lèi)型選為jks然后點(diǎn)ssl配置新建一個(gè)ssl配置列表如下圖所示：選擇你信任