Tomcat Server / Client selbstsigniertes SSL-Zertifikat

Ich habe einen Apache Tomcat 6.x-server läuft mit einem selbst-signierten SSL-Zertifikat. Ich möchte den client zu präsentieren, Ihr eigenes Zertifikat an den server, so kann ich diese authentifizieren, basierend auf einer Datenbank von Benutzern. Ich habe es all die Arbeit basiert auf einem Beispiel, das ich online gefunden, aber das Beispiel kam mit Dosen-Zertifikate und ein pre-build JKS datastore. Ich möchte mein eigenen datastore mit meinen eigenen certs aber ich habe kein Glück.

Wie erstelle ich einen datastore für Tomcat?
Wie erstelle ich ein selbstsigniertes Zertifikat für den Tomcat?

Wie erstelle ich ein selbstsigniertes Zertifikat für den client?
Wie kann ich erzwingen, Tomcat Vertrauen der Unterschrift des Kunden?

Spiele ich schon mit dem java-keytool für viele Stunden jetzt.

InformationsquelleAutor der Frage davidemm | 2009-07-24

  1. 59

    Endlich die Lösung für mein problem, also werde ich die Ergebnisse hier posten, wenn jemand feststeckt.

    Dank an Michael Martin von Michael ist Software-Gedanken & Geschwafel entdeckte ich, dass:

    keytool standardmäßig verwendet der DSA
    Algorithmus bei der Erstellung der
    self-signed cert. Frühere Versionen von
    Firefox akzeptiert diese Schlüssel ohne
    problem. Mit Firefox 3 beta 5, mit
    DSA funktioniert nicht, aber die Verwendung von RSA bedeutet.
    Tod "-keyalg RSA" beim generieren
    die selbst-signiertes Zertifikat erstellt eine
    cert die Firefox 3 beta 5 komplett
    akzeptiert.

    Habe ich einfach festgelegt, dass flag, gelöscht, alle caches in FireFox und es funktionierte wie ein Charme! Ich benutze dies als ein test-setup für mein Projekt und ich brauchen, um zu teilen mit anderen Menschen, so schrieb ich ein kleines batch-Skript erstellt zwei SSL-Zertifikate. Man kann fallen gelassen werden, in den Tomcat-setup und der andere ist ein .p12-Datei, die importiert werden können, die in FireFox/IE. Danke!

    Verwendung: erste Kommandozeilen-argument ist der Benutzername des Clients. Alle Passwörter sind "Passwort" (ohne Anführungszeichen). Ändern der hart-codierten bits, um Ihre Bedürfnisse zu erfüllen.

    @echo off
if "%1" == "" goto usage

keytool -genkeypair -alias servercert -keyalg RSA -dname "CN=Web Server,OU=Unit,O=Organization,L=City,S=State,C=US" -keypass password -keystore server.jks -storepass password
keytool -genkeypair -alias %1 -keystore %1.p12 -storetype pkcs12 -keyalg RSA -dname "CN=%1,OU=Unit,O=Organization,L=City,S=State,C=US" -keypass password -storepass password
keytool -exportcert -alias %1 -file %1.cer -keystore %1.p12 -storetype pkcs12 -storepass password
keytool -importcert -keystore server.jks -alias %1 -file %1.cer -v -trustcacerts -noprompt -storepass password
keytool -list -v -keystore server.jks -storepass password
del %1.cer
goto end

:usage
echo Need user id as first argument: generate_keystore [username]
goto end

:end
pause

    Resultat sind zwei Dateien. Eine namens-server.jks, dass Sie drop in Tomcat und eine weitere Datei namens " {username}.p12, die Sie importieren in den browser. Die server.jks-Datei hat das client-Zertifikat als trusted cert.

    Ich hoffe, jemand findet das nützlich.

    Und hier ist die XML, muss Hinzugefügt werden, um Ihre Tomcat conf/sever.xml Datei (nur getestet auf Tomcat 6.x)

    <Connector
   clientAuth="true" port="8443" minSpareThreads="5" maxSpareThreads="75"
   enableLookups="true" disableUploadTimeout="true"
   acceptCount="100" maxThreads="200"
   scheme="https" secure="true" SSLEnabled="true"
   keystoreFile="${catalina.home}/conf/server.jks"
   keystoreType="JKS" keystorePass="password"
   truststoreFile="${catalina.home}/conf/server.jks"
   truststoreType="JKS" truststorePass="password"
   SSLVerifyClient="require" SSLEngine="on" SSLVerifyDepth="2" sslProtocol="TLS"
/>

    Für Tomcat 7:

    <Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
           port="8443" SSLEnabled="true"
           maxThreads="200" scheme="https" secure="true"
           keystoreFile="${catalina.base}/conf/server.jks" keystorePass="password"
           clientAuth="false" sslProtocol="TLS" />

    InformationsquelleAutor der Antwort davidemm

  2. 3

    Aktivieren Sie client-Authentifizierung, müssen Sie einen "trust store" für Tomcat: ein Schlüssel zu speichern, die Zertifikate von Stammzertifizierungsstellen, denen Sie Vertrauen, jeweils gekennzeichnet als "trustEntry".

    Dies wird durch die Connector element Attribute: truststoreFiletruststorePass (was standardmäßig der Wert von keystorePass), und truststoreType (die standardmäßig auf "JKS").

    Wenn ein client ein selbstsigniertes Zertifikat, dann seine "root" CA ist das Zertifikat selbst; es folgt, dass Sie müssen zum importieren der client ist selbst-signierte Zertifikat in Tomcat ' s trust store.

    Wenn Sie viele Kunden, dies wird schnell ein Streit. In diesem Fall möchten Sie vielleicht einen Blick in signing-Zertifikate für Ihre Kunden. Die Java - keytool Befehl kann das nicht tun, aber alle die notwendigen Befehlszeilen-Dienstprogramme sind in der OpenSSL. Oder man konnte sich in so etwas wie EJBCA auf einer großen Skala.

    Besser noch, Fragen Sie Ihren Kunden zur Nutzung einer vorhandenen freien CA, wie startcom.org. Das muss nicht immer Arbeit für server-Zertifikate, weil StartCom-Zertifikat ist nicht im Lieferumfang enthalten, in allen Browsern, aber diese situation ist Umgekehrt, und das StartCom root Zertifikat konnte problemlos importiert werden, um den Tomcat-trust-Shop.

    InformationsquelleAutor der Antwort erickson

  3. 2

    Zertifikat erstellen:

    keytool -genkey -alias tomcat -keyalg RSA -keystore /home/bob/mykeystore

    Geben Sie alle Daten für das selbstsignierte Zertifikat, das Sie benötigen, dann Bearbeiten Tomcat server.xml und geben Sie das keystore-Eigenschaften auf den SSL-connector, z.B.:

    <Connector port="8443" maxHttpHeaderSize="8192"
        maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
        enableLookups="false" disableUploadTimeout="true"
        acceptCount="100" scheme="https" secure="true"
        keystoreFile="/home/bob/mykeystore"
        clientAuth="false" sslProtocol="TLS" />

    oder Folgen Sie den Tomcat-docs...

    http://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html

    InformationsquelleAutor der Antwort Jon

  4. 1

    Die bisherigen Antworten sind für mich nützlich, aber nicht über ein shell-tool version. Also schrieb ich einen.

    key_gen.sh:

    #! /bin/bash
# a key generator for https,

basename=server
key_algorithm=RSA
password_key=123456
password_store=123456
country=US

# clean - pre
rm "${basename}.jks"

# generate server side
keytool -genkeypair -alias "${basename}cert" -keyalg $key_algorithm -dname "CN=Web Server,OU=Unit,O=Organization,L=City,S=State,C=${country}" -keypass $password_key -keystore "${basename}.jks" -storepass $password_store

    Für tomcat8 könnte fügen Sie die folgende config zu server.xml:

        <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
        maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
        clientAuth="false" sslProtocol="TLS"
        acceptCount="75" keystoreFile="${catalina.home}/conf/server.jks" keystorePass="123456"
    />

    InformationsquelleAutor der Antwort Eric Wang

Schreibe einen Kommentar