http://han-zw./blog/640737 轉(zhuǎn)自這里
前段時(shí)間接觸webservice,需要建立基于ssl的webservice以保證安全性����,并要提供數(shù)字的支持。關(guān)于這部分以前沒有搞過�,經(jīng)過摸索總算有些收獲。現(xiàn)在把我的一些經(jīng)驗(yàn)share一下����。
一、 數(shù)字證書的相關(guān)準(zhǔn)備
關(guān)于數(shù)字證書部分我是用openssl做的����,也是個(gè)開源的軟件���,前不久剛剛發(fā)布了1.0版本(做了11年才正式發(fā)布,由衷的佩服���,老外真是有股哏勁)����。網(wǎng)上很多文章介紹用java自帶的keytool命令完成���,我沒有試過�,不過看文章介紹好像keytool沒有CA認(rèn)證的功能�����。下面開始數(shù)字證書相關(guān)操作����。
1. 下載、安裝openssl(好像是廢話)
Openssl建議大家用1.0版本�,畢竟是正式版本。我用的時(shí)候正式版還沒出來,當(dāng)時(shí)用的是OpenSSL 0.9.8m���,不要用OpenSSL 0.9.8h這個(gè)版本(有個(gè)bug���,會(huì)影響到后面的操作)。安裝后從命令行進(jìn)入安裝目錄下的bin目錄�。Ready! GO!��。
2.創(chuàng)建CA的私鑰
執(zhí)行以下命令openssl genrsa -des3 -out ../demo/ca/ca.key 1024
demo是我的工作目錄,接下來會(huì)提示你輸入密碼�,后面用到的密碼會(huì)很多,最好都認(rèn)真記下來�����。
3.創(chuàng)建CA證書
openssl req -new -x509 -key ../demo/ca/ca.key -out ../demo/ca/ca.crt -days 365
x509是一種加密的標(biāo)準(zhǔn)����,-out是指輸出的文件路徑,-key是指定私鑰��,也就是上一步生成的那個(gè)���,-days是指證書有效期��。
注:再輸入common name時(shí)你可以指定你自己的名字����,但是不能輸入你的服務(wù)器名(www.XX.X.com)
4.創(chuàng)建server端的私鑰
因?yàn)樵蹅兪且趕erver端提供SSL的webservice,所以在server端需要使用私鑰庫和信任庫���。
openssl genrsa -des3 -out ../demo/server/server.key 1024
5.創(chuàng)建server證書簽名請(qǐng)求
我們可以發(fā)送簽名請(qǐng)求到一個(gè)官方的CA機(jī)構(gòu)�,這些機(jī)構(gòu)都是要收費(fèi)的�,而且還要嚴(yán)格審核,至于我們自己開發(fā)過程中的話實(shí)在是沒必要���。我們直接發(fā)送到我們剛才通過openssl構(gòu)建的CA就可以了���。
openssl req -new -key ../demo/server/server.key -out ../demo/server/server.csr
注意這里的common name,此處填寫你的服務(wù)器的ip或者域名,例如localhost�����,也就是你要為哪臺(tái)服務(wù)器做證書就指定那臺(tái)機(jī)器��。
6.CA簽署server證書
如果是第一次通過CA簽署證書的話����,執(zhí)行如下命令
openssl x509 -req -days 30 -in ../demo/server/server.csr -CA ../demo/ca/ca.crt -CAkey ../demo/ca/ca.key -CAcreateserial -out ../demo/server/server.crt
其中的-CAcreateserial是指創(chuàng)建一個(gè)新的序列文件��。這樣openssl會(huì)在當(dāng)前目錄下創(chuàng)建一個(gè)名為ca.srl的文件存儲(chǔ)序列號(hào)(官方是這樣說的���,我本地產(chǎn)生的序列文件是.srl,搞不清怎么回事,可能是創(chuàng)建時(shí)沒指定名字吧�����,不過不影響后面的操作)���。下次再次簽署證書時(shí)就可以直接指定這個(gè)序列文件了�。命令如下:openssl x509 -req -days 30 -in ../demo/server/server.csr -CA ../demo/ca/ca.crt -CAkey ../demo/ca/ca.key -CAserial .srl -out ../demo/server/server.crt
輸入CA私鑰的密碼后簽署成功���。
7.創(chuàng)建server端的pkcs12文件
openssl pkcs12 -export -in ../demo/server/server.crt -inkey ../demo/server/server.key -out ../demo/server/server.p12 -name demo_server
注意其中的-name demo_server,這個(gè)是指定keystore的別名��,記下來��,很重要哦(weblogic要用到���,網(wǎng)上的資料都沒有這個(gè)參數(shù)��,害得我weblogic配置時(shí)費(fèi)老了勁了)��。
8.轉(zhuǎn)換pkcs12為JKS keystore文件
這個(gè)過程需要用到j(luò)etty.jar����,下載相應(yīng)jar后添加到classpath,然后執(zhí)行如下命令
java org.mortbay.util.PKCS12Import ../demo/server/server.p12 ../demo/server/server.jks
在此處輸入上一步設(shè)置到export password����。
Server端相關(guān)文件就完成了,現(xiàn)在可以用java的keytool命令查看一下生成的server.jks的內(nèi)容
keytool -v -list -keystore ../demo/server/server.jks
接下來開始準(zhǔn)備client端的相關(guān)文件��,因?yàn)槲覀儐⒂昧藬?shù)字證書的機(jī)制���,client在通過webservice訪問server時(shí)也需要提供自己的證書�����,也就是server和client相互認(rèn)證(客戶要求的�����,唉)�����??蛻舳说南嚓P(guān)操作與server端類似,不做過多說明���。
9.創(chuàng)建client端的私鑰
openssl req -new -newkey rsa:1024 -nodes -out ../demo/client/client.req -keyout ../demo/client/client.key
10.創(chuàng)建client端證書簽名請(qǐng)求
openssl x509 -CA ../demo/ca/ca.crt -CAkey ../demo/ca/ca.key -CAserial .srl -req -in ../demo/client/client.req -out ../demo/client/client.pem -days 365
11.創(chuàng)建client端的pkcs12文件
openssl pkcs12 -export -clcerts -in ../demo/client/client.pem -inkey ../demo/client/client.key -out ../demo/client/client.p12 -name
12.創(chuàng)建client端的jks文件
java org.mortbay.util.PKCS12Import ../demo/client/client.p12 ../demo/client/client.jks
13.創(chuàng)建信任密鑰庫
這次用到j(luò)ava的keytool命令
keytool -genkey -alias dummy -keyalg RSA -keystore ../demo/server/truststore.jks
到此為止數(shù)字證書的部分就完成了����,下面介紹一下tomcat如何配置ssl支持�����。
14.將CA認(rèn)證過的證書導(dǎo)入信任庫
keytool -import -v -trustcacerts -alias my_ca -file ../demo/ca/ca.crt -keystore ../demo/server/truststore.jks
通過下面的命令可以查看信任庫的詳細(xì)信息
keytool -v -list -keystore ../demo/server/truststore.jks
二��、 tomcat ssl支持的配置
1. 在tomcat的server.xml中添加一個(gè)新的connector,配置如下
<Connector port="8443" maxHttpHeaderSize="8192"
SSLEnabled="true"
maxThreads="150"
minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false"
disableUploadTimeout="true"
acceptCount="100"
scheme="https"
secure="true"
clientAuth="false"
sslProtocol="TLS"
keystoreFile="/conf/server.jks"
keystorePass="XXXXXX"
algorithm="SunX509"
/>
注:keystoreFile對(duì)應(yīng)server端的jks文件���,keystorePass對(duì)應(yīng)其密碼
2. 重啟tomcat��,在瀏覽器中敲入https://localhost:8443/測試一下
通過https訪問web功能時(shí)需要在瀏覽器中導(dǎo)入證書,因?yàn)槲覀冎饕鉀Qwebservice的ssl�����,關(guān)于瀏覽器如何導(dǎo)證書就不做介紹了�����。
Tomcat的配置就這么簡單。
三�����、 weblogic9.2 ssl配置
weblogic通過控制臺(tái)就可以完成ssl的配置�����,以下是部分截圖
1. 登錄weblogic控制臺(tái) ����,點(diǎn)擊頁面左端所屬域下的:環(huán)境>>服務(wù)器>> 點(diǎn)擊所屬服務(wù)器進(jìn)行編輯,在常規(guī)選項(xiàng)卡中作如下配置���,如圖(注意紅色區(qū)域):
[img]/admin/blogs/7.jpg" alt="圖7[/img]
2. 切換到私鑰庫選項(xiàng)卡
[img]/admin/blogs/8.jpg" alt="圖8[/img]
注:1.密鑰庫選擇“自定義標(biāo)識(shí)和自定義信任”
2.密鑰庫的位置可以用絕對(duì)路徑也可以用相對(duì)路徑
3.密碼就是我們?cè)跀?shù)字證書部分的密碼
3. 切換到SSL選項(xiàng)卡
[img]/admin/blogs/9.jpg" alt="圖9[/img]
注意那個(gè)私鑰別名��,就是我們?cè)跀?shù)字證書部分指定的server私鑰的那個(gè)別名
好了����,保存設(shè)置后重啟就可以了��。訪問https://localhost:7002/試一下吧��。
終于寫完了���,以前老是在javaeye中看別人的文章�����,還老挑毛病�����,今天第一次寫博客����,沒想到這么累啊,實(shí)在是不會(huì)貼圖�����,搞了半天都不行����,還是直接傳附件吧!
這次算是投石問路吧���,好的話下周再寫一下利用cxf建立SSL的webservice(數(shù)字證書以及鑒權(quán)機(jī)制)。
