Solaris下 配置Tomcat以支持SSLCFCAWord下载.docx
- 文档编号:18696834
- 上传时间:2022-12-31
- 格式:DOCX
- 页数:12
- 大小:1.42MB
Solaris下 配置Tomcat以支持SSLCFCAWord下载.docx
《Solaris下 配置Tomcat以支持SSLCFCAWord下载.docx》由会员分享,可在线阅读,更多相关《Solaris下 配置Tomcat以支持SSLCFCAWord下载.docx(12页珍藏版)》请在冰豆网上搜索。
1.用户浏览器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送到服务器。
2.服务器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送给浏览器,同时发给浏览器的还有服务器的证书。
如果配置服务器的SSL需要验证用户身份,还要发出请求要求浏览器提供用户证书。
3.客户端检查服务器证书,如果检查失败,提示不能建立SSL连接。
如果成功,那么继续。
4.客户端浏览器为本次会话生成pre-mastersecret,并将其用服务器公钥加密后发送给服务器。
5.如果服务器要求鉴别客户身份,客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。
6.如果服务器要求鉴别客户身份,则检查签署客户证书的CA是否可信。
如果不在信任列表中,结束本次会话。
如果检查通过,服务器用自己的私钥解密收到的pre-mastersecret,并用它通过某些算法生成本次会话的mastersecret。
7.客户端与服务器均使用此mastersecret生成本次会话的会话密钥(对称密钥)。
在双方SSL握手结束后传递任何消息均使用此会话密钥。
这样做的主要原因是对称加密比非对称加密的运算量低一个数量级以上,能够显著提高双方会话时的运算速度。
8.客户端通知服务器此后发送的消息都使用这个会话密钥进行加密。
并通知服务器客户端已经完成本次SSL握手。
9.服务器通知客户端此后发送的消息都使用这个会话密钥进行加密。
并通知客户端服务器已经完成本次SSL握手。
10.本次握手过程结束,会话已经建立。
双方使用同一个会话密钥分别对发送以及接受的信息进行加、解密。
2JSSE:
JavaSSLextension
用来支持Java程序的SSL;
3Keystore
Java把各种钥匙对keypair、验证certification等都可以放到一个文件中,并且一个文件可以放多个钥匙对和验证信息,并用别名alias来区分不同的keypair/certification。
存放这些信息的文件叫做keystore;
4Keytool
JDK自带的用于管理keystore的工具
安装准备:
1.
确定已安装有JDK1.2以上版本(java-version);
如果你的机器安装了jdk1.4以上版本可以不必以下准备。
2.
下载JSSE,URL:
(注意,JDK1.4以上版本已经集成JSSE了,不需要再下载),一般来说都只能download全球版本(还有个版本是美国/加拿大版本,加密位数没有限制);
3.
安装JSSE,主要是把JSSE包内的lib/*.jar拷贝到JAVA_HOME/jre/lib/ext/下,并且加入到CLASSPATH中(这一步很重要);
4.
编辑JAVA_HOME/jre/lib/security/java.security文件,主要是添加:
security.provider.1=sun.security.provider.Sun(一般系统本来就有这一行)
security.provider.2=.ssl.internal.ssl.Provider(注意数字2应该是你的系统原有的最大provider数再加一,不一定是2;
但一般把它的优先级设为2,而改其它的)
5.
确定你的系统有下面文件的其中一个:
1)JAVA_HOME/jre/lib/security/jssecacerts或者
2)2)JAVA_HOME/jre/lib/security/cacerts
申请服务器证书
1建立保存证书相关信息的目录
如:
c:
\myServerKey
2在dos窗口中敲入以下命令生成.keystore文件
%java_home%\bin\keytool-genkey-aliastomcatTest-keyalgRSA-keystorec:
\myServerKey\serverKey.keystore
将提示您输入保护keystore的密码
注意问题:
姓氏可输入域名,中国的国家代码是:
CN
-liastomcatTest中的tomcatTest为别名可以任意输入
请到c:
\myServerKey目录下确认是否生成文件serverKey.keystore
注意:
如果是正式证书的安装,在上图中的“您的名字和姓氏中“,要录入CFCA给的两个码中的数字码。
3产生certificatesignaturerequest(CSR)用来向CA颁发机构申请有效的服务器证书:
%java_home%\bin\keytool–certreq-keyalgRSA-aliastomcatTest-filec:
\myServerKey\certreq.csr-storepasslxz2003-keystorec:
命令行的说明:
-aliastomcatTest在生成.keystore的别名
-storepass访问.keystore的密码
-filecertreq.csr生成证书请求存放的文件
在c:
\myServerKey目录下找到certreq.csr文件用文本编辑器(如notepad.exe、ultraedit.exe)打开(注意千万不要改变其中的内容或用word等带有一定格式的字处理软件编辑或存储以上信息。
)文件内容类似如下:
-----BEGINNEWCERTIFICATEREQUEST-----
MIIBqjCCARMCAQAwajELMAkGA1UEBhMCQ04xEjAQBgNVBAgTCWd1YW5nZG9u
c2hlbnpoZW4xDzANBgNVBAoTBmJ5dHRlcjEPMA0GA1UECxMGYnl0dGVyMRIwEAY
MC4wLjEwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBALKNsefgVD4KhkgKfY
PP7ctq4wMqR807Q+joeqqu78hwD4Dd8I4R7Fg6pl6GGMhuOVG+s7j59Qf+s9pdUM/Sj5ex
IM5skhiYSsIgsDWMY/mMl2u212AeNKxR2bzRrWtT0OUv1yHvCmE6CmifqKce51R3Ag
BgkqhkiG9w0BAQQFAAOBgQBOq79Rhmt2yo1B2ezUBAv6ieyMLGvYxDID/+SU8UpKw0
rpdpPEQjOPKDnQW1gXyU5zxheWMCh7K4p/r2NNf2cvzs3hGvESwx2/cjDo2q246EoZqy/
LfaUqDbvqCEVS29Z/0tL+h6GEcsQU+/P6wVvOZ0MFA==
-----ENDNEWCERTIFICATEREQUEST-----
4联系CA颁发机构的申请服务器证书(本说明已测试证书为例)。
参考号和授权码,是有CA证书办发机构提供的,一般通过申请获得。
输入服务器证书请求
即把上面生成的证书请求文本拷贝粘贴到文本框中(certreq.csr)。
点击提交后就可以得到服务器证书。
(下面提到的根证书、协议证书、策略证书,都将在本说明包有所提供。
)
5导入可信任的根证书链到你的.keystore文件中:
(即下图CFCA网站上的兰色标示,下载后,会有三个证书链文件rca.cer,pca.cer.oca.cer)
%java_home%\bin\keytool-import-aliasroot–storepasschangeit-keystore
%java_home%\jre\lib\security\cacerts-trustcacerts-fileRca.cer
6导入可信任的协议证书pCA到你的.keystore文件中:
%java_home%\bin\keytool-import-aliaspca–storepasschangeit-keystore
%java_home%\jre\lib\security\cacerts-trustcacerts-filepCA.cer
7导入可信任的策略证书oCA到你的.keystore文件中:
%java_home%\bin\keytool-import-aliasoca–storepasschangeit-keystore
%java_home%\jre\lib\security\cacerts-trustcacerts-fileoCA.cer
8导入刚申请的服务器证书到你的.keystore文件中:
%java_home%\bin\keytool-import-aliastomcatTest-storepasslxz2003-keystorec:
\myServerKey\serverKey.keystore-trustcacerts-fileServer.cer--一般下载下来的都是.bin文件,即server.bin,而不是此步骤中最后的server.cer(注意不要改动文件名)
9验证keystore中的keypairs和CA的有效性:
%java_home%\bin\keytool-list–v-aliastomcatTest–storepasslxz2003-keystorec:
屏幕输出如下:
9配置服务器(TOMCAT)开启SSL服务
打开TOMCAT安装目录的\conf\server.xml文件找到如下文本取消注释并做如下修改:
<
!
--DefineaSSLCoyoteHTTP/1.1Connectoronport8443-->
<
ConnectorclassName="
org.apache.coyote.tomcat4.CoyoteConnector"
port="
8443"
minProcessors="
5"
maxProcessors="
75"
enableLookups="
true"
acceptCount="
10"
debug="
0"
scheme="
https"
secure="
useURIValidationHack="
false"
>
--很重要--
FactoryclassName="
org.apache.coyote.tomcat4.CoyoteServerSocketFactory"
clientAuth="
protocol="
TLS"
keystoreFile="
\myServerKey\serverKey.keystore"
keystorePass="
lxz2003"
/>
/Connector>
说明:
属性
描述
className
实现类名,不要更改默认值
clientAuth
True:
客户端访问SSL需提供客户端证书,false可以不提供
keystoreFile
.keystore文件的位置
keystorePass
访问.keystore的密码
protocol
加密/解密使用的协议,不要修改默认值
10测试服务器证书是否成功安装
重新启动TOMCAT,打开IE浏览器在地址栏内输入:
https:
//127.0.0.1:
8443/index.jsp出现如下页面表示TOMCAT服务器证书配置成功:
圈选部分双击可显示证书信息:
如果在TOMCAT的server.xml配置中将clientAuth="
改为“true”,则客户端必须申请客户端证书,如没有客户端证书则被拒绝访问(最好设置为true)显示如下页面:
正式安装注意事项:
如果WEBSERVER端已安装WEBSERVER的测试证书,那么在安装完正式证书后,要做如下步骤:
1、用正式的CertKitAx.CAB替换C:
\ProgramFiles\ApacheGroup\TOMCAT4.1\WEBAPPS\HAIHANG(相应目录)\INCLUDE\CertKitAx.CAB
(正式的CertKitAx.CAB,由CFCA提供,或用附件中的)
2、反注册WEBSERVER上和客户端的REGSVR32/UCertKitAx.CAB文件(客户端在测试环境访问过服务器的需要反注册,没有访问过的不需要反注册;
3、重启电脑;
当启动时建立连接时,正常情况是,先提示输入CFCA的KEY的PIN码,然后输入我们软件的用户名和密码,然后选择证书进行登陆;
客户端注意事项:
1.一般来讲,如果在一台从来没有安装过我们资金管理软件的机器上做好KEY,然后通过浏览器访问B/S程序时,不用到CFCA网站上下载证书链,但是如果是在本机上做好的KEY要拿到其他的机器上来访问B/S程序时,就必须要下载证书链,下载证书链时,就点击下图中黑色的椭圆型的框,遇到提示就点击‘是’,最后会在页面上显示‘成功’字样,表示证书链下载成功!
2.
3.当遇到KEY初始话成功后,在KEY上面会显示你所拥有的CFCA证书,点击IE浏览器的属性-内容-证书,会在证书的对话框中出现你KEY上面所拥有的证书,关闭浏览器,重新开启浏览器,选择B/S程序所选择的内部网址,以海航的服务器为例,输入网址https:
//10.99.60.114:
8443/hnair,接着就会出现让你输入PIN码的对话框,正确输入后,会进入B/S程序的主界面,输入用户名和密码后,选择‘证书登陆’,这是如果证书配置没有问题的话就会自动弹出‘请选择证书’的对话框,如下图
4.
5.如果没有自动弹出证书选择的对话框,则需要进行检查和配置,首先,在开始-运行里输入命令:
regsvr32/ucertkitax.dll,此命令是对CERTKITAX.DLL文件的反注册,如果反注册成功的话,再到操作系统的文件夹下,WIN2000是WINNT文件夹下的SYSTEM32文件夹下删除CERTKITAX.DLL文件,再重新按照上面的步骤进入B/S程序即可。
如果输入regsvr32/ucertkitax.dll确定后,弹出找不到模块的对话框,就说明CERTKITAX.DLL虽然没有在系统目录中注册,但是其他的目录中有注册,就点击程序-查找,在查询框中输入CERTKITAX.DLL,查找到后就在运行里面进行反注册但是要加上此DLL文件所属的路径名,如regsvr32/uD:
\ProgramFiles\certkitax.dll,点击确定,进行反注册,会出现成功字样,反注册成功后,再根据查找对话框中的所有的CERTKITAX.DLL进行删除,删除后,重新登陆内网的WEB服务器,如海航的HTTPS:
//10。
99。
60。
114:
8443/HNAIR,程序就会自动的下载并注册CERTKIT。
DLL文件,遇到提示统统点‘是’,接着输入正确的PIN码,进入程序界面,输入用户名和密码然后选择‘证书登陆’,就会弹出证书对话框,选择你的证书,进入界面即可。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Solaris下 配置Tomcat以支持SSLCFCA Solaris 配置 Tomcat 支持 SSLCFCA