SSL——Secure Sockets Layer 双向认证(个人理解): 客户端认证: 客户端通过浏览器访问某一网站时,如果该网站为 HTTPS 网站,浏览器会自动检测系统中是否存在该网站的信任证书,如果没有信任证书,浏览器一般会拒绝访问,IE 会有一个继续访问的链接,但地址栏是红色,给予用户警示作用,即客户端验证服务端并不是强制性的,可以没有服务端的信任证书,当然是否继续访问完全取决于用户自己。如何去除地址栏的红色警告呢?后续会介绍导入服务端证书到浏览器的方法。 服务端认证: 服务端需要获取到客户端通过浏览器发送过来的认证证书,该证书在服务端的证书库中已存在,仅仅是个匹配过程,匹配成功即通过认证,可继续访问网站资源,反之则无法显示网页,后续有截图。 基本逻辑: 1、生成服务端密钥库并导出证书; 2、生成客户端密钥库并导出证书; 3、根据服务端密钥库生成客户端信任的证书; 4、将客户端证书导入服务端密钥库; 5、将服务端证书导入浏览器。 构建演示系统 演示环境: JDK:1.6.0_32 Tomcat:apache-tomcat-7.0.27 开发工具:MyEclipse 10 浏览器:Internet Explorer 9 一、生成密钥库和证书 可参考以下密钥生成脚本,根据实际情况做必要的修改,其中需要注意的是:服务端的密钥库参数“CN”必须与服务端的 IP 地址相同,否则会报错,客户端的任意。 key.script 1、生成服务器证书库 keytool -validity 365 -genkey -v -alias server -keyalg RSA -keystore E:\ssl\server.keystore -dname"CN=127.0.0.1,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass123456 -keypass123456 2、生成客户端证书库 keytool -validity 365 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore E:\ssl\client.p12 -dname"CN=client,OU=icesoft,O=icesoft,L=Haidian,ST=Beijing,c=cn" -storepass123456 -keypass123456 3、从客户端证书库中导出客户端证书 keytool -export -v -alias client -keystore E:\ssl\client.p12 -storetype PKCS12 -storepass123456 -rfc -file E:\ssl\client.cer 4、从服务器证书库中导出服务器证书 keytool -export -v -alias server -keystore E:\ssl\server.keystore -storepass123456 -rfc -file E:\ssl\server.cer 5、生成客户端信任证书库(由服务端证书生成的证书库) keytool -import...
VIP
